LAPSUS$-utpressningsgruppen har tystnat efter en beryktad och snabb uppgång genom hotlandskapet, riktad mot företag inklusive Microsoft, NVIDIA och Okta, och tjänar ryktbarhet för sin frigående, decentraliserade inställning till cyberbrottslighet.
Men forskare sa att gruppen sannolikt inte är borta - och i alla fall kan dess "fräcka" taktik lämna ett arv.
En ny rapport från exponeringshanteringsspecialisten Tenable gräver i gruppens bakgrund och taktiken, teknikerna och procedurerna (TTP) som den har använt, och mognar från distribuerade denial-of-service-attacker (DDoS) och vandalism på webbplatser till mer sofistikerade metoder. Dessa inkluderar användningen av social ingenjörsteknik för att återställa användarlösenord och använda verktyg för multifaktorautentisering (MFA).
"Kärtecknad av oberäkneligt beteende och besynnerliga krav som inte kan tillgodoses - vid ett tillfälle anklagade gruppen till och med ett mål för att hacka tillbaka - LAPSUS$-gruppens ställning i spetsen för cybersäkerhetsnyheterna var kaotisk," rapportera anteckningar.
Kaos, brist på logik del av planen
"Man skulle absolut kunna kalla LAPSUS$ "lite punkrock", men jag försöker undvika att få dåliga skådespelare att låta så coolt, säger Claire Tills, senior forskningsingenjör på Tenable. "Deras kaotiska och ologiska angreppssätt gjorde det mycket svårare att förutsäga eller förbereda sig för incidenterna, vilket ofta fångade försvarare på baksidan."
Hon förklarar att kanske på grund av gruppens decentraliserade struktur och crowdsourcing-beslut, dess målprofil finns överallt, vilket innebär att organisationer inte kan verka utifrån "vi är inte ett intressant mål"-synpunkt med aktörer som LAPSUS$.
Tills tillägger att det alltid är svårt att säga om en hotgrupp har försvunnit, bytt namn eller bara blivit tillfälligt vilande.
"Oavsett om gruppen som identifierar sig som LAPSUS$ någonsin gör anspråk på ett annat offer, kan organisationer lära sig värdefulla lektioner om den här typen av skådespelare", säger hon. "Flera andra grupper som endast bedriver utpressning har fått en framträdande plats under de senaste månaderna, troligen inspirerade av LAPSUS$:s korta och livliga karriär."
Som noterats i rapporten kommer utpressningsgrupper sannolikt att inrikta sig på molnmiljöer, som ofta innehåller känslig, värdefull information som utpressningsgrupper söker.
"De är också ofta felkonfigurerade på sätt som ger angripare tillgång till sådan information med lägre behörigheter," tillägger Tills. "Organisationer måste se till att deras molnmiljöer är konfigurerade med minsta privilegieprinciper och inrätta robust övervakning av misstänkt beteende."
Som med många hotaktörer, säger hon, förblir social ingenjörskonst en pålitlig taktik för utpressningsgrupper, och det första steget som många organisationer kommer att behöva ta är att anta att de kan vara ett mål.
"Efter det är robusta metoder som multifaktor- och lösenordslös autentisering avgörande," förklarar hon. "Organisationer måste också kontinuerligt utvärdera och åtgärda kända exploaterade sårbarheter, särskilt på virtuella privata nätverksprodukter, Remote Desktop Protocol och Active Directory."
Hon tillägger att även om initial åtkomst vanligtvis uppnåddes genom social ingenjörskonst, är äldre sårbarheter ovärderliga för hotaktörer när de försöker höja sina privilegier och röra sig i sidled genom system för att få tillgång till den mest känsliga information de kan hitta.
LAPSUS$-medlemmar sannolikt fortfarande aktiva
Bara för att LAPSUS$ har varit tyst i månader betyder det inte att gruppen plötsligt är nedlagd. Cyberbrottsgrupper blir ofta mörka för att hålla sig borta från rampljuset, rekrytera nya medlemmar och förfina sina TTP:er.
"Vi skulle inte bli förvånade över att se LAPSUS$ dyka upp igen i framtiden, möjligen under ett annat namn i ett försök att ta avstånd från skändningen av LAPSUS$-namnet", säger Brad Crompton, underrättelsechef för Intel 471:s Shared Services.
Han förklarar att även om LAPSUS$-gruppmedlemmar har arresterats, tror han att gruppens kommunikationskanaler kommer att fortsätta att fungera och att många företag kommer att bli föremål för hotaktörer när de väl är anslutna till gruppen.
"Dessutom kan vi också se dessa tidigare LAPSUS$-gruppmedlemmar utveckla nya TTP:er eller potentiellt skapa spin-offs av gruppen med betrodda gruppmedlemmar", säger han. "Men det är osannolikt att dessa är offentliga grupper och kommer förmodligen att införa en högre grad av operativ säkerhet, till skillnad från sina föregångare."
Pengar som den främsta motivatorn
Casey Ellis, grundare och CTO på Bugcrowd, en crowdsourced cybersäkerhetsleverantör, förklarar att cyberbrottslingar motiveras av pengar medan nationalstater motiveras av nationella mål. Så även om LAPSUS$ inte följer reglerna är dess handlingar något förutsägbara.
"Den farligaste aspekten, enligt min mening, är att de flesta organisationer har ägnat de senaste fem eller fler åren åt att utveckla symmetriska defensiva strategier baserade på hotaktörer med någorlunda väldefinierade definitioner och mål", säger han. "När en kaotisk hotaktör introduceras i mixen, lutar spelet och blir asymmetriskt, och min största oro för LAPSUS$ och andra liknande aktörer är att försvarare inte riktigt har förberett sig för den här typen av hot på ganska länge."
Han påpekar att LAPSUS$ är mycket beroende av social ingenjörskonst för att få ett inledande fotfäste, så att bedöma din organisations beredskap för hot från sociala ingenjörer, både på mänsklig utbildning och teknisk kontrollnivå, är en försiktig försiktighetsåtgärd att vidta här.
Ellis säger att även om de uttalade målen för LAPSUS$ och Anonymous/Antisec/Lulzsec är väldigt olika, tror han att de kommer att bete sig på liknande sätt i framtiden som hotaktörer.
Han säger att utvecklingen av Anonymous i början av 2010-talet såg att olika undergrupper och skådespelare ökade till framträdande plats, sedan försvann, bara för att ersättas av andra som replikerade och fördubblade framgångsrika tekniker.
"Kanske LAPSUS$ har försvunnit helt och för alltid", säger han, "men som försvarare skulle jag inte lita på detta som min primära defensiva strategi mot den här typen av kaotiska hot."
