Grupul de extorcare LAPSUS$ a rămas tăcut în urma unei ascensiuni notorii și rapide în peisajul amenințărilor, vizând companii precum Microsoft, NVIDIA și Okta, și câștigând notorietate pentru abordarea sa liberă și descentralizată a criminalității cibernetice.
Cu toate acestea, cercetătorii au spus că grupul probabil nu a dispărut – și, în orice caz, tacticile sale „dezvăluite” pot lăsa o moștenire.
Un nou raport al specialistului în managementul expunerii Tenable analizează istoricul grupului și tacticile, tehnicile și procedurile (TTP) pe care le-a folosit, maturând de la atacuri distribuite de refuzare a serviciului (DDoS) și vandalism pe site-uri la metode mai sofisticate. Acestea includ utilizarea tehnicilor de inginerie socială pentru a reseta parolele utilizatorilor și a coopta instrumente de autentificare multifactor (MFA).
„Caracterizat de un comportament neregulat și de cerințe neobișnuite care nu pot fi îndeplinite – la un moment dat, grupul a acuzat chiar o țintă de hacking back – mandatul grupului LAPSUS$ în fruntea ciclului de știri privind securitatea cibernetică a fost haotic”, note de raport.
Haos, lipsă de logică, parte a planului
„Ați putea numi LAPSUS$ „un pic punk rock”, dar încerc să evit să fac actorii răi să sune atât de bine”, notează Claire Tills, inginer principal de cercetare la Tenable. „Abordările lor haotice și ilogice ale atacurilor au făcut mult mai dificilă prezicerea sau pregătirea pentru incidente, prinzând adesea apărătorii cu piciorul din spate.”
Ea explică că, probabil, din cauza structurii descentralizate a grupului și a deciziilor crowdsourcing, profilul său țintă este peste tot, ceea ce înseamnă că organizațiile nu pot opera din punctul de vedere „nu suntem o țintă interesantă” cu actori precum LAPSUS$.
Tills adaugă că este întotdeauna greu de spus dacă un grup de amenințări a dispărut, a rebrandat sau doar a inactiv temporar.
„Indiferent dacă grupul care se identifică ca LAPSUS$ revendică vreodată o altă victimă, organizațiile pot învăța lecții valoroase despre acest tip de actor”, spune ea. „Câteva alte grupuri de extorcare au câștigat importanță în ultimele luni, probabil inspirate de cariera scurtă și zbuciumată a lui LAPSUS$.”
După cum se menționează în raport, este probabil ca grupurile de extorcare să vizeze mediile cloud, care conțin adesea informații sensibile și valoroase pe care le caută grupurile de extorcare.
„De asemenea, sunt adesea configurate greșit în moduri care oferă atacatorilor acces la astfel de informații cu permisiuni mai mici”, adaugă Tills. „Organizațiile trebuie să se asigure că mediile lor cloud sunt configurate cu principiile celor mai mici privilegii și să instituie o monitorizare solidă pentru comportamentul suspect.”
Ca și în cazul multor actori ai amenințărilor, spune ea, ingineria socială rămâne o tactică de încredere pentru grupurile de extorcare, iar primul pas pe care multe organizații trebuie să-l facă este să presupună că ar putea fi o țintă.
„După aceea, practicile robuste precum autentificarea multifactorială și fără parolă sunt esențiale”, explică ea. „Organizațiile trebuie, de asemenea, să evalueze și să remedieze în mod continuu vulnerabilitățile cunoscute exploatate, în special pe produsele de rețea privată virtuală, Protocolul desktop la distanță și Active Directory.”
Ea adaugă că, în timp ce accesul inițial a fost obținut de obicei prin inginerie socială, vulnerabilitățile moștenite sunt de neprețuit pentru actorii amenințărilor atunci când caută să-și ridice privilegiile și să se deplaseze lateral prin sisteme pentru a obține acces la cele mai sensibile informații pe care le pot găsi.
Membrii LAPSUS$ sunt probabil încă activi
Doar pentru că LAPSUS$ a fost tăcut de luni de zile nu înseamnă că grupul a dispărut brusc. Grupurile de criminalitate cibernetică se întunecă adesea pentru a rămâne departe de lumina reflectoarelor, pentru a recruta noi membri și pentru a-și perfecționa TTP-urile.
„Nu am fi surprinși să vedem că LAPSUS$ reapară în viitor, eventual sub un alt nume, într-un efort de a se distanța de infamia numelui LAPSUS$”, spune Brad Crompton, director de informații pentru serviciile partajate Intel 471.
El explică că, deși membrii grupului LAPSUS$ au fost arestați, el crede că canalele de comunicare ale grupului vor rămâne operaționale și că multe afaceri vor fi vizate de actori amenințări odată afiliați grupului.
„În plus, s-ar putea să vedem acești membri anteriori ai grupului LAPSUS$ să dezvolte noi TTP-uri sau potențial să creeze spinoff-uri ale grupului cu membri de încredere ai grupului”, spune el. „Cu toate acestea, este puțin probabil ca acestea să fie grupuri publice și probabil vor implementa un grad mai ridicat de securitate operațională, spre deosebire de predecesorii lor.”
Banii ca principal motivator
Casey Ellis, fondator și CTO la Bugcrowd, un furnizor de securitate cibernetică prin sursă publică, explică că infractorii cibernetici sunt motivați de bani, în timp ce statele naționale sunt motivate de obiective naționale. Deci, deși LAPSUS$ nu respectă regulile, acțiunile sale sunt oarecum previzibile.
„Cel mai periculos aspect, după părerea mea, este că majoritatea organizațiilor au petrecut ultimii cinci sau mai mulți ani dezvoltând strategii defensive simetrice bazate pe actori de amenințări cu definiții și obiective destul de bine definite”, spune el. „Când un actor de amenințare haotic este introdus în amestec, jocul se înclină și devine asimetric, iar principala mea preocupare cu privire la LAPSUS$ și alți actori similari este că apărătorii nu s-au pregătit cu adevărat pentru acest tip de amenințare de ceva timp.”
El subliniază că LAPSUS$ se bazează în mare măsură pe ingineria socială pentru a obține o poziție inițială, așa că evaluarea gradului de pregătire a organizației dumneavoastră pentru amenințările de inginerie socială, atât la nivel de pregătire umană, cât și la nivel de control tehnic, este o precauție prudentă de luat aici.
Ellis spune că, deși obiectivele declarate ale LAPSUS$ și Anonymous/Antisec/Lulzsec sunt foarte diferite, el crede că se vor comporta similar în viitor ca actori ai amenințărilor.
El spune că evoluția lui Anonymous la începutul anilor 2010 a văzut diferite subgrupuri și actori care au ajuns la proeminență, apoi au dispărut, doar pentru a fi înlocuiți cu alții care au replicat și au dublat tehnicile de succes.
„Poate că LAPSUS$ a dispărut complet și pentru totdeauna”, spune el, „dar, ca apărător, nu m-aș baza pe aceasta ca strategie principală defensivă împotriva acestui tip de amenințare haotică”.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
