Il gruppo LAPSUS$, presumibilmente composto da adolescenti, è apparso improvvisamente sulla scena cyber alla fine dello scorso anno. È diventato uno dei gruppi di ransomware online più conosciuti e famosi dopo essersi infiltrato con successo in grandi aziende come Microsoft, Samsung, Ubisoft e Okta.
Claire Tills, Senior Research Engineer di Tenable, ha acquisito una profonda conoscenza delle operazioni del gruppo LAPSUS$. Ha scoperto che mentre le tattiche del gruppo sono audaci, illogiche e mal concepite, hanno avuto successo nel distruggere le principali aziende tecnologiche internazionali. Questo è un promemoria che fa riflettere sul fatto che nessuna azienda è veramente al sicuro dagli attacchi informatici, poiché le aziende grandi e piccole sono diventate un bersaglio facile per gli aggressori.
Lapsus$: furto di dati ed estorsione
A differenza degli operatori di ransomware, LAPSUS$ rappresenta un gruppo crescente di criminali informatici focalizzati esclusivamente sul furto di dati e sull'estorsione. Ottengono l'accesso alle vittime attraverso metodi collaudati come il phishing e rubano i dati più sensibili che riescono a trovare senza utilizzare malware di crittografia dei dati. Il gruppo è salito alla ribalta quando ha lanciato un attacco a Nvidia alla fine di febbraio. Con questo attacco, LAPSUS $ è entrato per la prima volta sulla scena mondiale e ha iniziato una breve furia delle principali aziende tecnologiche.
A differenza di altri gruppi di minacce, LAPSUS$ opera esclusivamente attraverso un gruppo privato di Telegram e non gestisce un sito di leak sul dark web. Tramite Telegram, il gruppo annuncia le sue vittime e spesso chiede alla comunità suggerimenti su quali dati aziendali pubblicare successivamente. Rispetto ai siti Web raffinati e standardizzati dei gruppi di ransomware (come AvosLocker, LockBit 2.0, Conti, ecc.), queste pratiche appaiono disorganizzate e immature.
Attacchi DDoS e vulnerabilità di sicurezza
🔎 Panoramica degli attacchi LAPSUS$ (Immagine: Tenable)
Attaccando di recente una serie di obiettivi di alto profilo, il gruppo LAPSUS$ è diventato noto per le sue tattiche non convenzionali e metodi imprevedibili. I primi attacchi includevano DDoS (Distributed Denial of Service) e atti vandalici sui siti web. Ma già dal 21 gennaio, il gruppo LAPSUS$ è stato coinvolto nella violazione in più fasi che alla fine ha portato all'incidente di Okta. Durante questa maturazione, il gruppo ha fatto molto affidamento su tattiche classiche come l'acquisto di dump di credenziali, helpdesk di ingegneria sociale e l'invio di sfide di autenticazione a più fattori (MFA) per ottenere l'accesso iniziale alle aziende target.
"Come il ransomware, gli attacchi di estorsione non finiranno mai a meno che non diventino troppo complicati o troppo costosi", ha affermato Claire Tills, ingegnere ricercatore senior presso Tenable. “Le organizzazioni dovrebbero considerare quali difese hanno contro le tattiche utilizzate, come possono essere rafforzate e se i loro piani di risposta affrontano efficacemente questi incidenti. Mentre è facile minimizzare gruppi di minacce come LAPSUS$, la loro interruzione per le principali aziende tecnologiche internazionali ci ricorda che anche semplici tattiche possono avere gravi ripercussioni".
Altro su Tenable.com
A proposito di Tenable Tenable è una società di esposizione informatica. Oltre 24.000 aziende in tutto il mondo si affidano a Tenable per comprendere e ridurre il rischio informatico. Gli inventori di Nessus hanno unito la loro esperienza in materia di vulnerabilità in Tenable.io, offrendo la prima piattaforma del settore che fornisce visibilità in tempo reale e protegge qualsiasi risorsa su qualsiasi piattaforma informatica. La base di clienti di Tenable comprende il 53% di Fortune 500, il 29% di Global 2000 e grandi agenzie governative.