O grupo de extorsão LAPSUS$ ficou quieto após um aumento notório e rápido no cenário de ameaças, visando empresas como Microsoft, NVIDIA e Octa, e ganhando notoriedade por sua abordagem livre e descentralizada ao cibercrime.
No entanto, os pesquisadores disseram que o grupo provavelmente não se foi – e, em qualquer caso, suas táticas “descaradas” podem deixar um legado.
Um novo relatório da Tenable, especialista em gerenciamento de exposição, analisa o histórico do grupo e as táticas, técnicas e procedimentos (TTPs) que ele usou, amadurecendo desde ataques distribuídos de negação de serviço (DDoS) e vandalismo de sites até métodos mais sofisticados. Isso inclui o uso de técnicas de engenharia social para redefinir senhas de usuários e cooptar ferramentas de autenticação multifator (MFA).
“Caracterizado por comportamento errático e demandas estranhas que não podem ser atendidas – em um ponto, o grupo até acusou um alvo de hacking de volta – o mandato do grupo LAPSUS$ na vanguarda do ciclo de notícias de segurança cibernética foi caótico”, disse o comunicado. notas do relatório.
Caos, Falta de Lógica Parte do Plano
“Você poderia chamar o LAPSUS$ de 'um pouco de punk rock', mas tento evitar que atores ruins soem tão legais”, observa Claire Tills, engenheira de pesquisa sênior da Tenable. “Suas abordagens caóticas e ilógicas aos ataques tornaram muito mais difícil prever ou se preparar para os incidentes, muitas vezes pegando os defensores com o pé atrás.”
Ela explica que talvez devido à estrutura descentralizada do grupo e às decisões de crowdsourcing, seu perfil-alvo está em todo lugar, o que significa que as organizações não podem operar do ponto de vista “não somos um alvo interessante” com atores como LAPSUS$.
Tills acrescenta que é sempre difícil dizer se um grupo de ameaças desapareceu, mudou de marca ou ficou temporariamente inativo.
“Independentemente de o grupo que se identifica como LAPSUS$ reivindicar outra vítima, as organizações podem aprender lições valiosas sobre esse tipo de ator”, diz ela. “Vários outros grupos apenas de extorsão ganharam destaque nos últimos meses, provavelmente inspirados pela breve e turbulenta carreira do LAPSUS$.”
Conforme observado no relatório, os grupos de extorsão provavelmente visam ambientes de nuvem, que geralmente contêm informações confidenciais e valiosas que os grupos de extorsão buscam.
“Eles também são frequentemente mal configurados de forma a oferecer aos invasores acesso a essas informações com permissões mais baixas”, acrescenta Tills. “As organizações devem garantir que seus ambientes de nuvem sejam configurados com princípios de privilégios mínimos e instituir monitoramento robusto para comportamento suspeito.”
Como acontece com muitos atores de ameaças, ela diz, a engenharia social continua sendo uma tática confiável para grupos de extorsão, e o primeiro passo que muitas organizações precisarão dar é assumir que podem ser um alvo.
“Depois disso, práticas robustas como autenticação multifator e sem senha são críticas”, explica ela. “As organizações também devem avaliar e corrigir continuamente vulnerabilidades exploradas conhecidas, principalmente em produtos de rede privada virtual, Remote Desktop Protocol e Active Directory.”
Ela acrescenta que, embora o acesso inicial tenha sido normalmente obtido por meio de engenharia social, as vulnerabilidades legadas são inestimáveis para os agentes de ameaças quando procuram elevar seus privilégios e mover-se lateralmente pelos sistemas para obter acesso às informações mais confidenciais que podem encontrar.
Membros LAPSUS$ provavelmente ainda ativos
Só porque o LAPSUS$ está quieto há meses não significa que o grupo está subitamente extinto. Os grupos de crimes cibernéticos geralmente ficam no escuro para ficar fora dos holofotes, recrutar novos membros e refinar seus TTPs.
“Não ficaríamos surpresos em ver o LAPSUS$ ressurgir no futuro, possivelmente com um nome diferente em um esforço para se distanciar da infâmia do nome LAPSUS$”, diz Brad Crompton, diretor de inteligência dos Serviços Compartilhados da Intel 471.
Ele explica que, embora os membros do grupo LAPSUS$ tenham sido presos, ele acredita que os canais de comunicação do grupo permanecerão operacionais e que muitas empresas serão alvo de agentes de ameaças uma vez afiliados ao grupo.
“Além disso, também podemos ver esses membros anteriores do grupo LAPSUS$ desenvolver novos TTPs ou potencialmente criar spinoffs do grupo com membros confiáveis do grupo”, diz ele. “No entanto, é improvável que sejam grupos públicos e provavelmente decretarão um grau mais alto de segurança operacional, ao contrário de seus antecessores.”
Dinheiro como principal motivador
Casey Ellis, fundador e CTO da Bugcrowd, um provedor de segurança cibernética de crowdsourcing, explica que os cibercriminosos são motivados por dinheiro, enquanto os estados-nação são motivados por objetivos nacionais. Portanto, embora o LAPSUS$ não esteja seguindo as regras, suas ações são um tanto previsíveis.
“O aspecto mais perigoso, na minha opinião, é que a maioria das organizações passou os últimos cinco ou mais anos desenvolvendo estratégias defensivas simétricas baseadas em agentes de ameaças com definições e objetivos razoavelmente bem definidos”, diz ele. “Quando um ator de ameaça caótico é introduzido na mistura, o jogo se inclina e se torna assimétrico, e minha principal preocupação com LAPSUS$ e outros atores semelhantes é que os defensores não estão realmente se preparando para esse tipo de ameaça há algum tempo.”
Ele ressalta que o LAPSUS$ depende muito da engenharia social para obter uma base inicial, portanto, avaliar a prontidão de sua organização para ameaças de engenharia social, tanto no treinamento humano quanto nos níveis de controle técnico, é uma precaução prudente a ser tomada aqui.
Ellis diz que, embora os objetivos declarados do LAPSUS$ e do Anonymous/Antisec/Lulzsec sejam muito diferentes, ele acredita que eles se comportarão de maneira semelhante no futuro como agentes de ameaças.
Ele diz que a evolução do Anonymous no início de 2010 viu vários subgrupos e atores ganharem destaque, depois desaparecerem, apenas para serem substituídos por outros que replicaram e duplicaram as técnicas de sucesso.
“Talvez o LAPSUS$ tenha desaparecido completamente e para sempre”, diz ele, “mas, como defensor, eu não confiaria nisso como minha principal estratégia defensiva contra esse tipo de ameaça caótica”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
