Izsiljevalska skupina LAPSUS$ je utihnila po razvpitem in hitrem porastu groženj, ki cilja na podjetja, vključno z Microsoftom, NVIDIA in Okta, in si prislužil razvpitost zaradi svobodnega, decentraliziranega pristopa do kibernetske kriminalitete.
Vendar pa so raziskovalci dejali, da skupina verjetno še ni izginila - in v vsakem primeru lahko njena "drzna" taktika pusti zapuščino.
Novo poročilo strokovnjaka za obvladovanje izpostavljenosti Tenable se poglobi v ozadje skupine in taktike, tehnike in postopke (TTP), ki jih je uporabljala, od porazdeljenih napadov zavrnitve storitve (DDoS) in vandalizma na spletnem mestu do bolj sofisticiranih metod. Ti vključujejo uporabo tehnik socialnega inženiringa za ponastavitev uporabniških gesel in sodelovanje orodij za večfaktorsko preverjanje pristnosti (MFA).
»Za katero je značilno nenavadno vedenje in nenavadne zahteve, ki jih ni mogoče izpolniti – na neki točki je skupina celo obtožila tarčo vdora nazaj – je bil mandat skupine LAPSUS$ v ospredju cikla novic o kibernetski varnosti kaotičen,« poročila.
Kaos, pomanjkanje logike del načrta
»Lahko bi LAPSUS$ imenovali 'mali punk rock', vendar se trudim, da bi slabi igralci zveneli tako kul,« ugotavlja Claire Tills, višja raziskovalna inženirka pri Tenable. "Njihovi kaotični in nelogični pristopi k napadom so veliko težje napovedali incidente ali se nanje pripravili, zaradi česar so obrambne igralce pogosto ujeli na zadnji nogi."
Pojasnjuje, da je morda zaradi decentralizirane strukture skupine in odločitev množice njen ciljni profil povsod, kar pomeni, da organizacije ne morejo delovati z vidika »nismo zanimiva tarča« z akterji, kot je LAPSUS$.
Tills dodaja, da je vedno težko reči, ali je skupina groženj izginila, se je preimenovala ali samo začasno mirovala.
»Ne glede na to, ali skupina, ki se identificira kot LAPSUS$, kdaj zahteva drugo žrtev, se lahko organizacije naučijo dragocenih lekcij o tej vrsti akterjev,« pravi. "Več drugih skupin, ki se ukvarjajo samo z izsiljevanjem, je v zadnjih mesecih postalo pomembno, verjetno po navdihu kratke in burne kariere LAPSUS$."
Kot je navedeno v poročilu, bodo izsiljevalske skupine verjetno ciljale na okolja v oblaku, ki pogosto vsebujejo občutljive in dragocene informacije, ki jih iščejo izsiljevalske skupine.
»Prav tako so pogosto napačno konfigurirani na načine, ki napadalcem ponujajo dostop do takih informacij z nižjimi dovoljenji,« dodaja Tills. "Organizacije morajo zagotoviti, da so njihova okolja v oblaku konfigurirana z načeli najmanjših privilegijev in uvesti robusten nadzor za sumljivo vedenje."
Kot pri mnogih akterjih groženj, pravi, socialni inženiring ostaja zanesljiva taktika za izsiljevalske skupine in prvi korak, ki ga bodo morale narediti mnoge organizacije, je domneva, da so lahko tarča.
»Po tem so kritične robustne prakse, kot sta večfaktorsko preverjanje pristnosti in preverjanje pristnosti brez gesla,« pojasnjuje. "Organizacije morajo prav tako nenehno ocenjevati in odpravljati znane zlorabljene ranljivosti, zlasti na izdelkih navideznega zasebnega omrežja, protokolu oddaljenega namizja in aktivnem imeniku."
Dodaja, da medtem ko je bil začetni dostop običajno dosežen s socialnim inženiringom, so podedovane ranljivosti neprecenljive za akterje groženj, ko želijo povišati svoje privilegije in se premikati stransko skozi sisteme, da bi pridobili dostop do najbolj občutljivih informacij, ki jih lahko najdejo.
Člani LAPSUS$ so verjetno še aktivni
Samo zato, ker je LAPSUS$ več mesecev tiho, še ne pomeni, da je skupina nenadoma propadla. Skupine kibernetske kriminalitete se pogosto zatemnijo, da ne bi bile v središču pozornosti, novačijo nove člane in izboljšajo svoje TTP.
»Ne bi nas presenetilo, če bi se LAPSUS$ v prihodnosti ponovno pojavil, po možnosti pod drugim imenom, da bi se tako distancirali od sramote imena LAPSUS$,« pravi Brad Crompton, direktor obveščevalnih služb za Intel 471's Shared Services.
Pojasnjuje, da čeprav so bili člani skupine LAPSUS$ aretirani, verjame, da bodo komunikacijski kanali skupine ostali operativni in da bodo številna podjetja tarča akterjev groženj, ko bodo povezani s skupino.
»Poleg tega lahko vidimo, da ti prejšnji člani skupine LAPSUS$ razvijajo nove TTP-je ali potencialno ustvarjajo spinoff skupine z zaupanja vrednimi člani skupine,« pravi. "Vendar je malo verjetno, da bodo to javne skupine in bodo verjetno uvedle višjo stopnjo operativne varnosti, za razliko od svojih predhodnikov."
Denar kot glavni motivator
Casey Ellis, ustanovitelj in tehnični direktor pri Bugcrowdu, ponudniku kibernetske varnosti, ki se ukvarja z množičnimi viri, pojasnjuje, da kibernetske kriminalce motivira denar, medtem ko nacionalne države motivirajo nacionalni cilji. Torej, čeprav LAPSUS$ ne igra po pravilih, so njegova dejanja nekoliko predvidljiva.
»Najbolj nevaren vidik je po mojem mnenju ta, da je večina organizacij zadnjih pet ali več let porabila za razvoj simetričnih obrambnih strategij, ki temeljijo na akterjih groženj z razumno dobro opredeljenimi definicijami in cilji,« pravi. "Ko je v mešanico uveden kaotični igralec grožnje, se igra nagne in postane asimetrična, moja glavna skrb glede LAPSUS$ in drugih podobnih akterjev pa je, da se branilci že nekaj časa v resnici niso pripravljali na to vrsto grožnje."
Poudarja, da se LAPSUS$ močno zanaša na socialni inženiring, da pridobi začetno oporo, zato je ocena pripravljenosti vaše organizacije na grožnje socialnega inženiringa, tako na ravni usposabljanja ljudi kot tehničnega nadzora, preudaren previdnostni ukrep.
Ellis pravi, da čeprav so navedeni cilji LAPSUS$ in Anonymous/Antisec/Lulzsec zelo različni, meni, da se bosta v prihodnosti obnašala podobno kot akterja grožnje.
Pravi, da je razvoj Anonymousov v začetku leta 2010 videl, da so različne podskupine in akterji postali pomembni, nato pa izginili, le da so jih nadomestili drugi, ki so posnemali in podvajali uspešne tehnike.
»Morda je LAPSUS$ popolnoma in za vedno izginil,« pravi, »toda kot branilec se na to ne bi zanašal kot na svojo primarno obrambno strategijo proti tej vrsti kaotične grožnje.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
