LAPSUS$ gasp grubu, Microsoft, NVIDIA ve Oktave siber suçlara yönelik serbest, merkezi olmayan yaklaşımıyla ün kazanıyor.
Ancak araştırmacılar, grubun muhtemelen gitmediğini ve her halükarda "küstah" taktiklerinin bir miras bırakabileceğini söyledi.
Teşhir yönetimi uzmanı Tenable'ın yeni bir raporu, grubun geçmişini ve kullandığı taktikleri, teknikleri ve prosedürleri (TTP'ler), dağıtılmış hizmet reddi (DDoS) saldırılarından ve web sitesi vandalizminden daha karmaşık yöntemlere kadar olgunlaştırıyor. Bunlar, kullanıcı parolalarını sıfırlamak için sosyal mühendislik tekniklerinin kullanımını ve çok faktörlü kimlik doğrulama (MFA) araçlarını birlikte kullanmayı içerir.
"Kararsız davranışlar ve karşılanamayan tuhaf taleplerle karakterize edilen - bir noktada, grup bir hedefi geri hacklemekle bile suçladı - LAPSUS$ grubunun siber güvenlik haber döngüsünün ön saflarındaki görev süresi kaotikti." rapor notları.
Kaos, Mantıksızlık Planın Parçası
Tenable'da kıdemli araştırma mühendisi olan Claire Tills, "LAPSUS$'a kesinlikle 'küçük bir punk rock' diyebilirsiniz, ancak kötü oyuncuların kulağa bu kadar havalı gelmesinden kaçınmaya çalışıyorum" diyor. "Saldırılara karşı kaotik ve mantıksız yaklaşımları, olayları önceden tahmin etmeyi veya bunlara hazırlanmayı çok daha zorlaştırdı ve savunucuları genellikle arkadan yakaladı."
Belki de grubun merkezi olmayan yapısı ve kitle kaynaklı kararları nedeniyle hedef profilinin her yerde olduğunu, bunun da kuruluşların LAPSUS$ gibi aktörlerle “ilginç bir hedef değiliz” bakış açısıyla hareket edemeyeceği anlamına geldiğini açıklıyor.
Tills, bir tehdit grubunun ortadan kaybolduğunu, markasını değiştirdiğini veya geçici olarak uykuda kaldığını söylemenin her zaman zor olduğunu ekliyor.
"Kendilerini LAPSUS$ olarak tanımlayan grubun başka bir kurban talep edip etmediğine bakılmaksızın, kuruluşlar bu tür aktörler hakkında değerli dersler öğrenebilir" diyor. "Muhtemelen LAPSUS$'ın kısa ve şamatalı kariyerinden esinlenerek, son aylarda başka birkaç haraççı grup öne çıktı."
Raporda belirtildiği gibi, gasp gruplarının, genellikle gasp gruplarının aradığı hassas, değerli bilgileri içeren bulut ortamlarını hedeflemesi muhtemeldir.
Tills, "Ayrıca, saldırganların bu tür bilgilere daha düşük izinlerle erişmesini sağlayacak şekilde sıklıkla yanlış yapılandırılıyorlar" diye ekliyor. "Kuruluşlar, bulut ortamlarının en az ayrıcalık ilkeleriyle yapılandırılmasını sağlamalı ve şüpheli davranışlar için sağlam bir izleme sistemi kurmalıdır."
Pek çok tehdit aktöründe olduğu gibi, sosyal mühendisliğin gasp grupları için güvenilir bir taktik olmaya devam ettiğini ve birçok kuruluşun atması gereken ilk adımın, bunların bir hedef olabileceğini varsaymak olduğunu söylüyor.
"Bundan sonra, çok faktörlü ve şifresiz kimlik doğrulama gibi sağlam uygulamalar kritik öneme sahip" diye açıklıyor. "Kuruluşlar ayrıca, özellikle sanal özel ağ ürünleri, Uzak Masaüstü Protokolü ve Active Directory üzerinde, kötüye kullanıldığı bilinen güvenlik açıklarını sürekli olarak değerlendirmeli ve düzeltmelidir."
İlk erişim tipik olarak sosyal mühendislik yoluyla elde edilirken, eski güvenlik açıklarının, ayrıcalıklarını yükseltmek ve bulabildikleri en hassas bilgilere erişim elde etmek için sistemler arasında yatay geçiş yapmak isteyen tehdit aktörleri için paha biçilmez olduğunu ekliyor.
LAPSUS$ Üyeleri Muhtemelen Hâlâ Aktif
LAPSUS$'ın aylardır sessiz kalması, grubun birdenbire feshedildiği anlamına gelmez. Siber suç grupları, gündemden uzak durmak, yeni üyeler almak ve TTP'lerini iyileştirmek için genellikle karanlığa gömülür.
Intel 471'in Paylaşımlı Hizmetleri istihbarat direktörü Brad Crompton, "LAPSUS$'ın gelecekte, muhtemelen LAPSUS$ adının rezilliğinden uzaklaşmak için farklı bir adla yeniden ortaya çıktığını görmek bizi şaşırtmaz," diyor.
LAPSUS$ grubu üyeleri tutuklanmış olsa da grubun iletişim kanallarının çalışır durumda kalacağına inandığını ve birçok işletmenin grupla bağlantılı olduklarında tehdit aktörleri tarafından hedef alınacağını açıklıyor.
"Ayrıca, bu önceki LAPSUS$ grubu üyelerinin yeni TTP'ler geliştirdiğini veya potansiyel olarak güvenilir grup üyeleriyle grubun yan ürünlerini oluşturduğunu görebiliriz" diyor. "Ancak, bunların halka açık gruplar olması pek olası değil ve muhtemelen seleflerinden farklı olarak daha yüksek derecede operasyonel güvenlik sağlayacaklar."
Ana Motivatör Olarak Para
Kitle kaynaklı bir siber güvenlik sağlayıcısı olan Bugcrowd'un kurucusu ve CTO'su Casey Ellis, siber suçluların parayla, ulus devletlerin ise ulusal hedeflerle motive olduğunu açıklıyor. Dolayısıyla, LAPSUS$ kurallarına göre oynamasa da eylemleri bir şekilde tahmin edilebilir.
"Bence en tehlikeli yön, çoğu kuruluşun son beş veya daha fazla yılı, oldukça iyi tanımlanmış tanımları ve hedefleri olan tehdit aktörlerine dayalı simetrik savunma stratejileri geliştirmeye harcamış olmasıdır" diyor. "Karışıma kaotik bir tehdit aktörü dahil edildiğinde, oyun eğilir ve asimetrik hale gelir ve LAPSUS$ ve diğer benzer aktörler hakkındaki temel endişem, savunucuların epeydir bu tür bir tehdide gerçekten hazırlanmamış olmaları."
LAPSUS$'ın başlangıçta bir dayanak elde etmek için büyük ölçüde sosyal mühendisliğe dayandığına dikkat çekiyor, bu nedenle kuruluşunuzun sosyal mühendislik tehditlerine karşı hem insan eğitimi hem de teknik kontrol seviyelerine hazır olup olmadığını değerlendirmek, burada alınması gereken ihtiyatlı bir önlemdir.
Ellis, LAPSUS$ ve Anonymous/Antisec/Lulzsec'in belirtilen hedefleri çok farklı olsa da gelecekte tehdit aktörleri olarak benzer şekilde davranacaklarına inandığını söylüyor.
Anonymous'un 2010'ların başındaki evriminin, çeşitli alt grupların ve aktörlerin öne çıktığını, sonra gözden kaybolduğunu, yalnızca başarılı teknikleri kopyalayan ve ikiye katlayan başkaları tarafından değiştirildiğini gördüğünü söylüyor.
"Belki de LAPSUS$ tamamen ve sonsuza dek ortadan kayboldu," diyor, "ancak bir savunma oyuncusu olarak, bu tür kaotik tehdide karşı birincil savunma stratejim olarak buna güvenmezdim."
