Группа вымогателей LAPSUS$ замолчала после печально известного и быстрого роста угроз, нацеленных на такие компании, как Microsoft, NVIDIA и Okta, и получившая известность благодаря свободному децентрализованному подходу к киберпреступности.
Однако исследователи заявили, что группа, скорее всего, не исчезла — и в любом случае ее «дерзкая» тактика может оставить после себя наследие.
В новом отчете специалиста по управлению экспозицией Tenable подробно рассматривается предыстория группы, а также тактика, методы и процедуры (TTP), которые она использовала, от распределенных атак типа «отказ в обслуживании» (DDoS) и вандализма на веб-сайтах до более изощренных методов. К ним относятся использование методов социальной инженерии для сброса паролей пользователей и использование инструментов многофакторной аутентификации (MFA).
«Характеризуясь неустойчивым поведением и диковинными требованиями, которые невозможно выполнить — в какой-то момент группа даже обвинила цель во взломе — пребывание группы LAPSUS$ в авангарде цикла новостей о кибербезопасности было хаотичным», — говорится в сообщении. примечания к отчету.
Хаос, отсутствие логики, часть плана
«Вы можете абсолютно точно назвать LAPSUS$ «немного панк-рока», но я стараюсь, чтобы плохие актеры не звучали так круто», — отмечает Клэр Тиллс, старший инженер-исследователь в Tenable. «Из-за их хаотичного и нелогичного подхода к атакам было намного сложнее прогнозировать инциденты или готовиться к ним, что часто заставало защитников врасплох».
Она объясняет, что, возможно, из-за децентрализованной структуры группы и краудсорсинговых решений ее целевой профиль повсюду, а это означает, что организации не могут действовать с точки зрения «мы не интересная цель» с такими участниками, как LAPSUS$.
Тиллс добавляет, что всегда трудно сказать, исчезла ли группа угроз, сменила название или просто временно бездействовала.
«Независимо от того, заявит ли когда-либо группа, называющая себя LAPSUS$, еще одну жертву, организации могут извлечь ценные уроки из этого типа актеров», — говорит она. «Несколько других групп, занимающихся исключительно вымогательством, приобрели известность в последние месяцы, вероятно, вдохновленные короткой и бурной карьерой LAPSUS$».
Как отмечается в отчете, группы вымогателей, скорее всего, нацелены на облачные среды, которые часто содержат конфиденциальную ценную информацию, которую ищут группы вымогателей.
«Кроме того, их часто неправильно настраивают таким образом, что злоумышленникам предоставляется доступ к такой информации с более низкими разрешениями», — добавляет Тиллс. «Организации должны убедиться, что их облачные среды настроены с учетом принципов наименьших привилегий, и внедрить надежный мониторинг подозрительного поведения».
По ее словам, как и в случае со многими злоумышленниками, социальная инженерия остается надежной тактикой для групп вымогателей, и первый шаг, который необходимо сделать многим организациям, — это предположить, что они могут быть целью.
«После этого критически важны надежные методы, такие как многофакторная и беспарольная аутентификация», — объясняет она. «Организации также должны постоянно оценивать и устранять известные уязвимости, особенно в продуктах виртуальной частной сети, протоколе удаленного рабочего стола и Active Directory».
Она добавляет, что, хотя первоначальный доступ, как правило, достигается с помощью социальной инженерии, устаревшие уязвимости имеют неоценимое значение для злоумышленников, когда они пытаются повысить свои привилегии и перемещаться по системам, чтобы получить доступ к наиболее конфиденциальной информации, которую они могут найти.
Члены LAPSUS$, вероятно, все еще активны
Тот факт, что LAPSUS$ молчал в течение нескольких месяцев, не означает, что группа внезапно прекратила свое существование. Киберпреступные группы часто уходят в тень, чтобы оставаться в тени, вербовать новых членов и улучшать свои TTP.
«Мы не удивимся, если в будущем LAPSUS$ снова появится, возможно, под другим именем, чтобы дистанцироваться от позорного имени LAPSUS$», — говорит Брэд Кромптон, директор по разведке Intel 471 Shared Services.
Он объясняет, что, несмотря на то, что члены группы LAPSUS$ были арестованы, он считает, что каналы связи группы останутся в рабочем состоянии и что многие предприятия станут мишенью для злоумышленников, когда-то связанных с группой.
«Кроме того, мы также можем увидеть, как эти бывшие члены группы LAPSUS$ разрабатывают новые TTP или потенциально создают побочные продукты группы с доверенными членами группы», — говорит он. «Однако это вряд ли будут публичные группы и, вероятно, будут обеспечивать более высокую степень оперативной безопасности, в отличие от их предшественников».
Деньги как главный мотиватор
Кейси Эллис, основатель и технический директор Bugcrowd, краудсорсингового поставщика кибербезопасности, объясняет, что киберпреступники мотивированы деньгами, в то время как национальные государства мотивированы национальными целями. Таким образом, хотя LAPSUS$ не играет по правилам, его действия несколько предсказуемы.
«Самый опасный аспект, на мой взгляд, заключается в том, что большинство организаций потратили последние пять или более лет на разработку симметричных защитных стратегий, основанных на субъектах угроз с достаточно четко определенными определениями и целями», — говорит он. «Когда в смесь вводится хаотичный субъект угрозы, игра наклоняется и становится асимметричной, и меня больше всего беспокоит LAPSUS$ и другие подобные субъекты в том, что защитники действительно не готовились к этому типу угроз в течение достаточно долгого времени».
Он указывает, что LAPSUS$ в значительной степени полагается на социальную инженерию, чтобы закрепиться на начальном этапе, поэтому оценка готовности вашей организации к угрозам социальной инженерии, как на уровне обучения людей, так и на уровне технического контроля, является разумной мерой предосторожности.
Эллис говорит, что, хотя заявленные цели LAPSUS$ и Anonymous/Antisec/Lulzsec очень разные, он считает, что в будущем они будут вести себя одинаково как субъекты угроз.
Он говорит, что эволюция Anonymous в начале 2010-х годов привела к тому, что различные подгруппы и актеры становились известными, затем исчезали, только чтобы быть замененными другими, которые копировали и удваивали успешные методы.
«Возможно, LAPSUS$ исчезла полностью и навсегда, — говорит он, — но как защитник я бы не стал полагаться на нее как на свою основную стратегию защиты от такого рода хаотических угроз».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
