LAPSUS$ 勒索组织在威胁环境中臭名昭著且迅速崛起后已经安静下来,目标公司包括微软、英伟达和 高层云,并因其随心所欲、去中心化的网络犯罪方法而声名狼藉。
然而,研究人员表示,该组织可能不会消失——无论如何,其“厚颜无耻”的策略可能会留下遗产。
风险管理专家 Tenable 的一份新报告深入挖掘了该组织的背景以及它使用的策略、技术和程序 (TTP),从分布式拒绝服务 (DDoS) 攻击和网站破坏到更复杂的方法。 其中包括使用社会工程技术来重置用户密码和选择多因素身份验证 (MFA) 工具。
“以无法满足的古怪行为和古怪要求为特征——该组织一度甚至指责攻击目标——LAPSUS$ 组织在网络安全新闻周期最前沿的任期是混乱的,” 报告说明.
混乱,计划中缺乏逻辑的一部分
“你绝对可以称 LAPSUS$ 为‘小朋克摇滚’,但我尽量避免让坏演员听起来那么酷,”Tenable 高级研究工程师 Claire Tills 指出。 “他们对攻击的混乱和不合逻辑的方法使得预测或准备事件变得更加困难,经常让防守者措手不及。”
她解释说,也许由于该组织的分散式结构和众包决策,其目标配置文件无处不在,这意味着组织无法从“我们不是一个有趣的目标”的角度与 LAPSUS$ 等参与者合作。
Tills 补充说,总是很难说一个威胁组织是否已经消失、重新命名,或者只是暂时处于休眠状态。
“无论自称为 LAPSUS$ 的团体是否曾声称有其他受害者,组织都可以从这类演员身上学到宝贵的经验,”她说。 “近几个月来,其他几个仅敲诈勒索的团体已经声名鹊起,这可能是受到 LAPSUS$ 短暂而喧嚣的职业的启发。”
正如报告中所指出的,勒索组织可能会针对云环境,其中通常包含勒索组织寻求的敏感、有价值的信息。
Tills 补充说:“它们还经常被错误配置,使攻击者能够以较低的权限访问此类信息。” “组织必须确保他们的云环境配置有最低权限原则,并对可疑行为进行强有力的监控。”
她说,与许多威胁参与者一样,社会工程仍然是勒索组织的可靠策略,许多组织需要采取的第一步是假设他们可能成为目标。
“在那之后,多因素和无密码身份验证等强大的实践至关重要,”她解释说。 “组织还必须持续评估和修复已知被利用的漏洞,特别是在虚拟专用网络产品、远程桌面协议和 Active Directory 上。”
她补充说,虽然最初的访问通常是通过社会工程实现的,但在寻求提升他们的权限并横向移动系统以获取他们可以找到的最敏感信息的访问权限时,遗留漏洞对于威胁参与者来说是非常宝贵的。
LAPSUS$ 会员可能仍然活跃
仅仅因为 LAPSUS$ 几个月来一直保持安静并不意味着该组织突然解散了。 网络犯罪组织通常会为了躲避聚光灯、招募新成员和改进他们的 TTP 而变得黑暗。
英特尔 471 共享服务的情报总监 Brad Crompton 说:“如果 LAPSUS$ 未来重新出现,我们不会感到惊讶,可能会使用不同的名称,以使自己与 LAPSUS$ 名称的恶名保持距离。”
他解释说,尽管 LAPSUS$ 集团成员已被捕,但他相信该集团的沟通渠道将保持运作,并且一旦与该集团有关联,许多企业将成为威胁行为者的目标。
“此外,我们还可能会看到这些以前的 LAPSUS$ 小组成员开发新的 TTP,或者可能会与受信任的小组成员一起创建小组的衍生产品,”他说。 “然而,与他们的前辈不同,这些不太可能是公共团体,并且可能会制定更高程度的运营安全性。”
金钱是主要动力
众包网络安全提供商 Bugcrowd 的创始人兼首席技术官 Casey Ellis 解释说,网络犯罪分子受金钱驱使,而民族国家则受国家目标驱使。 因此,虽然 LAPSUS$ 没有遵守规则,但它的行为在某种程度上是可以预测的。
“在我看来,最危险的方面是,大多数组织在过去五年或更长时间里都在基于具有合理定义和目标的威胁参与者制定对称防御策略,”他说。 “当一个混乱的威胁行为者被引入组合时,游戏就会倾斜并变得不对称,我对 LAPSUS$ 和其他类似行为者的主要担忧是,防御者已经有一段时间没有真正为这种类型的威胁做好准备了。”
他指出 LAPSUS$ 在很大程度上依赖于社会工程来获得最初的立足点,因此评估您的组织对社会工程威胁的准备情况,包括人力培训和技术控制水平,是一个谨慎的预防措施。
Ellis 说,虽然 LAPSUS$ 和 Anonymous/Antisec/Lulzsec 的既定目标非常不同,但他相信它们在未来作为威胁参与者的行为会相似。
他说 Anonymous 在 2010 年代初期的演变见证了各种子团体和演员的崛起,然后逐渐消失,只是被其他复制并加倍成功技术的人所取代。
“也许 LAPSUS$ 已经彻底消失了,而且永远消失了,”他说,“但是,作为一名防守者,我不会把它作为我对抗这种混乱威胁的主要防御策略。”
