Le groupe LAPSUS$, qui serait composé d'adolescents, est soudainement apparu sur la scène cybernétique à la fin de l'année dernière. Il est devenu l'un des groupes de rançongiciels en ligne les plus connus et les plus notoires après avoir réussi à infiltrer de grandes entreprises telles que Microsoft, Samsung, Ubisoft et Okta.
Claire Tills, ingénieure de recherche senior chez Tenable, a acquis une connaissance approfondie des opérations du groupe LAPSUS$. Il a constaté que même si les tactiques du groupe sont audacieuses, illogiques et mal pensées, elles ont réussi à perturber les grandes entreprises technologiques internationales. C'est un rappel qui donne à réfléchir qu'aucune entreprise n'est vraiment à l'abri des cyberattaques, car les entreprises, grandes et petites, sont devenues un jeu équitable pour les attaquants.
Lapsus$ : vol de données et extorsion
Contrairement aux opérateurs de rançongiciels, LAPSUS$ représente un groupe croissant de cybercriminels uniquement axés sur le vol de données et l'extorsion. Ils accèdent aux victimes grâce à des méthodes éprouvées telles que le phishing et volent les données les plus sensibles qu'ils peuvent trouver sans utiliser de logiciels malveillants de cryptage des données. Le groupe s'est fait connaître en lançant une attaque contre Nvidia fin février. Avec cette attaque, LAPSUS$ est entré sur la scène mondiale pour la première fois et a commencé un bref déchaînement des grandes entreprises technologiques.
Contrairement à d'autres groupes de menaces, LAPSUS$ opère uniquement via un groupe Telegram privé et n'exploite pas de site Web sombre. Grâce à Telegram, le groupe annonce ses victimes et demande souvent à la communauté des suggestions sur les données de l'entreprise à publier ensuite. Comparées aux sites Web raffinés et standardisés des groupes de rançongiciels (comme AvosLocker, LockBit 2.0, Conti, etc.), ces pratiques semblent désorganisées et immatures.
Attaques DDoS et vulnérabilités de sécurité
🔎 Aperçu des attaques LAPSUS$ (Image : Tenable)
Attaquant récemment un certain nombre de cibles de premier plan, le groupe LAPSUS$ est devenu célèbre pour ses tactiques non conventionnelles et ses méthodes imprévisibles. Les premières attaques comprenaient le déni de service distribué (DDoS) et le vandalisme sur le site Web. Mais dès le 21 janvier, le groupe LAPSUS$ a été impliqué dans la violation en plusieurs étapes qui a finalement conduit à l'incident d'Okta. Au cours de cette maturation, le groupe s'est fortement appuyé sur des tactiques classiques telles que l'achat de vidages d'informations d'identification, des services d'assistance d'ingénierie sociale et l'envoi de défis d'authentification multifacteur (MFA) pour obtenir un accès initial aux entreprises cibles.
"Comme les rançongiciels, les attaques d'extorsion ne finiront jamais à moins qu'elles ne deviennent trop compliquées ou trop chères", a déclaré Claire Tills, ingénieure de recherche senior chez Tenable. « Les organisations doivent déterminer quelles sont leurs défenses contre les tactiques utilisées, comment elles peuvent être renforcées et si leurs plans d'intervention traitent efficacement ces incidents. Bien qu'il soit facile de minimiser l'importance des groupes de menaces comme LAPSUS$, leur perturbation des grandes entreprises technologiques internationales nous rappelle que même des tactiques simples peuvent avoir de graves répercussions.
Plus sur Tenable.com
À propos de Tenable Tenable est une entreprise de cyber-exposition. Plus de 24.000 53 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les cyber-risques. Les inventeurs de Nessus ont combiné leur expertise en matière de vulnérabilité dans Tenable.io, offrant la première plate-forme du secteur qui offre une visibilité en temps réel et sécurise n'importe quel actif sur n'importe quelle plate-forme informatique. La clientèle de Tenable comprend 500 % du Fortune 29, 2000 % du Global XNUMX et de grandes agences gouvernementales.