Група здирників LAPSUS$ затихла після сумнозвісного та стрімкого зростання загроз, націлених на такі компанії, як Microsoft, NVIDIA та Okta, і заслужив популярність своїм вільним, децентралізованим підходом до кіберзлочинності.
Однак дослідники сказали, що група, швидше за все, не зникла — і в будь-якому випадку її «нахабна» тактика може залишити спадок.
У новому звіті спеціаліста з управління ризиками Tenable досліджується передісторія групи та використовувані нею тактики, методи та процедури (TTP), починаючи від розподілених атак типу «відмова в обслуговуванні» (DDoS) і вандалізму на веб-сайтах до більш складних методів. Вони включають використання методів соціальної інженерії для скидання паролів користувачів і кооптацію інструментів багатофакторної автентифікації (MFA).
«Група LAPSUS$, яка характеризується нестабільною поведінкою та дивовижними вимогами, які неможливо задовольнити — одного разу навіть звинуватила ціль у зломі — перебування групи LAPSUS$ у авангарді циклу новин про кібербезпеку було хаотичним», доповідні записки.
Хаос, відсутність логіки частина плану
«Ви цілком можете назвати LAPSUS$ «маленьким панк-роком», але я намагаюся уникати того, щоб погані актори звучали так круто», — зазначає Клер Тілс, старший інженер-дослідник Tenable. «Їхні хаотичні та нелогічні підходи до атак ускладнювали прогнозування або підготовку до інцидентів, часто ловлячи захисників на задньому плані».
Вона пояснює, що, можливо, через децентралізовану структуру групи та краудсорсингові рішення її цільовий профіль повсюдний, а це означає, що організації не можуть працювати з точки зору «ми нецікава ціль» із такими акторами, як LAPSUS$.
Тілс додає, що завжди важко сказати, чи група загроз зникла, перейменувала чи просто тимчасово неактивна.
«Незалежно від того, чи група, яка називає себе LAPSUS$, вимагатиме ще одну жертву, організації можуть отримати цінні уроки про цей тип актора», — каже вона. «Останніми місяцями набули популярності кілька інших груп, які займаються лише вимаганням, ймовірно, натхненними короткою та бурхливою кар’єрою LAPSUS$».
Як зазначено у звіті, групи здирників, ймовірно, націлені на хмарні середовища, які часто містять конфіденційну цінну інформацію, яку шукають групи здирників.
«Вони також часто неправильно налаштовані таким чином, що пропонують зловмисникам доступ до такої інформації з меншими дозволами», — додає Тілс. «Організації повинні переконатися, що їхні хмарні середовища налаштовані за принципами найменших привілеїв, і запровадити надійний моніторинг підозрілої поведінки».
Як і у випадку з багатьма загрозливими акторами, каже вона, соціальна інженерія залишається надійною тактикою для груп здирників, і перший крок, який багато організацій повинні зробити, це припустити, що вони можуть стати мішенню.
«Після цього такі надійні практики, як багатофакторна та безпарольна автентифікація, є критично важливими», — пояснює вона. «Організації також повинні постійно оцінювати та виправляти відомі вразливості, зокрема у продуктах віртуальної приватної мережі, протоколі віддаленого робочого столу та Active Directory».
Вона додає, що хоча первинний доступ зазвичай досягається за допомогою соціальної інженерії, застарілі вразливості є неоціненними для суб’єктів загрози, коли вони прагнуть підвищити свої привілеї та переміщатися через системи, щоб отримати доступ до найбільш конфіденційної інформації, яку вони можуть знайти.
Учасники LAPSUS$, ймовірно, все ще активні
Те, що LAPSUS$ мовчав протягом кількох місяців, не означає, що група раптово припинила своє існування. Групи кіберзлочинців часто ховаються, щоб залишитися поза увагою, вербувати нових членів і вдосконалювати свої TTP.
«Ми не здивуємося, якщо в майбутньому знову з’явиться LAPSUS$, можливо, під іншою назвою, намагаючись дистанціюватися від сумнозвісної назви LAPSUS$», — говорить Бред Кромптон, директор із розвідки спільних служб Intel 471.
Він пояснює, що, незважаючи на те, що членів групи LAPSUS$ було заарештовано, він вважає, що канали зв’язку групи продовжуватимуть працювати, і що багато компаній стануть мішенню для загрозливих акторів, коли вони будуть пов’язані з групою.
«Крім того, ми також можемо побачити, як ці попередні учасники групи LAPSUS$ розробляють нові TTP або потенційно створюють побічні дії групи з довіреними членами групи», — говорить він. «Однак навряд чи це будуть громадські групи та, ймовірно, забезпечать більш високий рівень оперативної безпеки, на відміну від своїх попередників».
Гроші як головний мотиватор
Кейсі Елліс, засновник і технічний директор Bugcrowd, краудсорсингу постачальника кібербезпеки, пояснює, що кіберзлочинцями керують гроші, тоді як національними державами мотивують національні цілі. Отже, хоча LAPSUS$ не грає за правилами, його дії дещо передбачувані.
«Найбільш небезпечним аспектом, на мій погляд, є те, що більшість організацій витратили останні п’ять або більше років на розробку симетричних захисних стратегій, заснованих на загрозливих суб’єктах із достатньо чітко визначеними визначеннями та цілями», — каже він. «Коли в мікс вводиться хаотична загроза, гра нахиляється та стає асиметричною, і моє головне занепокоєння щодо LAPSUS$ та інших подібних акторів полягає в тому, що захисники насправді не готувалися до такого типу загрози досить довго».
Він зазначає, що LAPSUS$ значною мірою покладається на соціальну інженерію, щоб отримати початкову точку опори, тому оцінка готовності вашої організації до загроз соціальної інженерії, як на рівні навчання людей, так і на рівнях технічного контролю, є розумним заходом обережності.
Елліс каже, що хоча заявлені цілі LAPSUS$ і Anonymous/Antisec/Lulzsec дуже відрізняються, він вірить, що вони поводитимуться подібним чином у майбутньому як суб’єкти загрози.
Він каже, що під час еволюції Anonymous на початку 2010-х різні підгрупи та актори ставали відомими, а потім зникали, щоб їх замінили інші, які повторювали та дублювали успішні методи.
«Можливо, LAPSUS$ зник повністю й назавжди, — каже він, — але, як захисник, я б не покладався на це як на свою основну захисну стратегію проти такого типу хаотичної загрози».
