Nhóm tống tiền LAPSUS $ đã im hơi lặng tiếng sau sự nổi lên nhanh chóng và khét tiếng trong bối cảnh mối đe dọa, nhắm mục tiêu vào các công ty bao gồm Microsoft, NVIDIA và Oktavà gây được tiếng vang cho cách tiếp cận tự do, phi tập trung đối với tội phạm mạng.
Tuy nhiên, các nhà nghiên cứu cho biết nhóm này có thể sẽ không biến mất - và trong mọi trường hợp, chiến thuật “trơ tráo” của nhóm này có thể để lại di sản.
Một báo cáo mới từ chuyên gia quản lý phơi nhiễm Tenable đào sâu vào lý lịch của nhóm cũng như các chiến thuật, kỹ thuật và quy trình (TTP) mà nhóm này đã sử dụng, phát triển từ các cuộc tấn công từ chối dịch vụ (DDoS) phân tán và phá hoại trang web cho đến các phương pháp phức tạp hơn. Chúng bao gồm việc sử dụng các kỹ thuật kỹ thuật xã hội để đặt lại mật khẩu người dùng và các công cụ xác thực đa yếu tố co-opt (MFA).
“Đặc trưng bởi hành vi thất thường và những yêu cầu kỳ quặc không thể đáp ứng — có thời điểm, nhóm thậm chí còn cáo buộc mục tiêu tấn công ngược — nhiệm kỳ đi đầu trong chu kỳ tin tức an ninh mạng của nhóm LAPSUS$ là hỗn loạn,” báo cáo ghi chú.
Hỗn loạn, thiếu phần logic của kế hoạch
Claire Tills, kỹ sư nghiên cứu cấp cao tại Tenable, cho biết: “Bạn hoàn toàn có thể gọi LAPSUS$ là 'một chút nhạc punk rock', nhưng tôi cố gắng tránh làm cho các diễn viên xấu nghe có vẻ ngầu như vậy”. “Cách tiếp cận các cuộc tấn công hỗn loạn và phi logic của họ khiến việc dự đoán hoặc chuẩn bị cho các sự cố trở nên khó khăn hơn nhiều, thường khiến các hậu vệ phải lùi bước.”
Cô giải thích rằng có lẽ do cơ cấu phi tập trung và các quyết định dựa trên nguồn lực cộng đồng của nhóm, hồ sơ mục tiêu của nhóm có ở khắp mọi nơi, điều đó có nghĩa là các tổ chức không thể hoạt động theo quan điểm “chúng tôi không phải là mục tiêu thú vị” với những tác nhân như LAPSUS$.
Tills nói thêm rằng luôn khó để nói liệu một nhóm mối đe dọa đã biến mất, đổi thương hiệu hay chỉ tạm thời không hoạt động.
Cô nói: “Bất kể nhóm tự nhận mình là LAPSUS$ có từng yêu cầu một nạn nhân khác hay không, các tổ chức có thể học được những bài học quý giá về loại tác nhân này”. “Một số nhóm chuyên tống tiền khác đã trở nên nổi tiếng trong những tháng gần đây, có thể được lấy cảm hứng từ sự nghiệp ngắn ngủi và sôi nổi của LAPSUS$.”
Như đã lưu ý trong báo cáo, các nhóm tống tiền có khả năng nhắm mục tiêu vào các môi trường đám mây, thường chứa thông tin nhạy cảm, có giá trị mà các nhóm tống tiền tìm kiếm.
Tills cho biết thêm: “Chúng cũng thường bị định cấu hình sai theo cách khiến kẻ tấn công có thể truy cập vào những thông tin đó với quyền thấp hơn”. “Các tổ chức phải đảm bảo môi trường đám mây của họ được cấu hình theo các nguyên tắc ít đặc quyền nhất và tiến hành giám sát chặt chẽ đối với hành vi đáng ngờ.”
Cô nói, đối với nhiều kẻ đe dọa, kỹ thuật xã hội vẫn là một chiến thuật đáng tin cậy đối với các nhóm tống tiền và bước đầu tiên mà nhiều tổ chức cần thực hiện là giả định họ có thể là một mục tiêu.
Cô giải thích: “Sau đó, các phương pháp thực hành mạnh mẽ như xác thực đa yếu tố và không cần mật khẩu là rất quan trọng. “Các tổ chức cũng phải liên tục đánh giá và khắc phục các lỗ hổng đã bị khai thác, đặc biệt là trên các sản phẩm mạng riêng ảo, Giao thức máy tính từ xa và Active Directory.”
Cô ấy nói thêm rằng mặc dù quyền truy cập ban đầu thường đạt được thông qua kỹ thuật xã hội, nhưng các lỗ hổng di sản là vô giá đối với các tác nhân đe dọa khi tìm cách nâng cao đặc quyền của họ và di chuyển ngang qua các hệ thống để truy cập vào thông tin nhạy cảm nhất mà họ có thể tìm thấy.
Các thành viên của LAPSUS $ có thể vẫn hoạt động
Chỉ vì LAPSUS $ đã im hơi lặng tiếng trong nhiều tháng không có nghĩa là nhóm đột nhiên không còn tồn tại. Các nhóm tội phạm mạng thường đi tối để tránh xa sự chú ý, tuyển dụng thành viên mới và tinh chỉnh các TTP của chúng.
Brad Crompton, giám đốc tình báo của Dịch vụ chia sẻ của Intel 471 cho biết: “Chúng tôi sẽ không ngạc nhiên khi thấy LAPSUS$ xuất hiện trở lại trong tương lai, có thể dưới một cái tên khác trong nỗ lực tránh xa cái tên LAPSUS$ ô nhục”.
Anh ấy giải thích rằng mặc dù các thành viên nhóm LAPSUS $ đã bị bắt, anh ấy tin rằng các kênh liên lạc của nhóm sẽ vẫn hoạt động và nhiều doanh nghiệp sẽ là mục tiêu của các tác nhân đe dọa khi đã liên kết với nhóm.
Ông nói: “Ngoài ra, chúng tôi cũng có thể thấy các thành viên nhóm LAPSUS$ trước đây này phát triển các TTP mới hoặc có khả năng tạo ra các nhóm phụ của nhóm với các thành viên nhóm đáng tin cậy”. “Tuy nhiên, đây không phải là nhóm công cộng và có thể sẽ ban hành mức độ bảo mật hoạt động cao hơn, không giống như những nhóm tiền nhiệm.”
Tiền là động lực chính
Casey Ellis, người sáng lập và CTO tại Bugcrowd, một nhà cung cấp dịch vụ an ninh mạng dựa trên nguồn lực cộng đồng, giải thích rằng tội phạm mạng được thúc đẩy bởi tiền trong khi các quốc gia được thúc đẩy bởi các mục tiêu quốc gia. Vì vậy, mặc dù LAPSUS$ không chơi theo luật, nhưng hành động của nó có thể đoán trước được phần nào.
Ông nói: “Theo tôi, khía cạnh nguy hiểm nhất là hầu hết các tổ chức đã dành 5 năm trở lên để phát triển các chiến lược phòng thủ đối xứng dựa trên các tác nhân đe dọa với các định nghĩa và mục tiêu được xác định rõ ràng một cách hợp lý”. “Khi một tác nhân đe dọa hỗn loạn được đưa vào hỗn hợp, trò chơi sẽ nghiêng và trở nên bất đối xứng, và mối quan tâm chính của tôi về LAPSUS$ và các tác nhân tương tự khác là những người bảo vệ đã không thực sự chuẩn bị cho loại mối đe dọa này trong một thời gian khá dài.”
Ông chỉ ra rằng LAPSUS$ dựa chủ yếu vào kỹ nghệ xã hội để có được chỗ đứng ban đầu, vì vậy, việc đánh giá mức độ sẵn sàng của tổ chức của bạn trước các mối đe dọa kỹ nghệ xã hội, cả ở cấp độ đào tạo con người và kiểm soát kỹ thuật, là một biện pháp phòng ngừa thận trọng cần thực hiện ở đây.
Ellis cho biết trong khi các mục tiêu đã nêu của LAPSUS $ và Anonymous / Antisec / Lulzsec rất khác nhau, anh tin rằng chúng sẽ hoạt động tương tự trong tương lai với tư cách là các tác nhân đe dọa.
Ông nói rằng sự phát triển của Anonymous vào đầu những năm 2010 đã chứng kiến nhiều nhóm phụ và diễn viên nổi lên, sau đó biến mất, chỉ được thay thế bởi những nhóm khác được nhân rộng và nhân đôi dựa trên các kỹ thuật thành công.
“Có lẽ LAPSUS$ đã biến mất hoàn toàn và mãi mãi,” anh nói, “nhưng, với tư cách là một người bảo vệ, tôi sẽ không coi đây là chiến lược phòng thủ chính của mình trước loại mối đe dọa hỗn loạn này.”
