Die LAPSUS$-Gruppe, die Berichten zufolge aus Teenagern besteht, tauchte Ende letzten Jahres plötzlich in der Cyberszene auf. Sie wurde zu einer der bekanntesten und berüchtigtsten Online-Erpressergruppen, nachdem sie erfolgreich in große Unternehmen wie Microsoft, Samsung, Ubisoft und Okta eingedrungen war.
Claire Tills, Senior Research Engineer bei Tenable, hat einen tiefen Einblick in die Operationen der LAPSUS$-Gruppe gewonnen. Er hat dabei herausgefunden, dass die Taktik der Gruppe zwar dreist, unlogisch und wenig durchdacht ist, aber dennoch erfolgreich war, um bei großen internationalen Technologieunternehmen Störungen zu verursachen. Dies ist eine ernüchternde Erinnerung daran, dass kein Unternehmen wirklich sicher vor Cyberangriffen ist, da mittlerweile große ebenso wie kleine Unternehmen zum Freiwild für die Angreifer geworden sind.
Lapsus$: Datendiebstahl und Erpressung
Im Gegensatz zu Ransomware-Betreibern repräsentiert LAPSUS$ eine wachsende Gruppe von Cyberkriminellen, die sich ausschließlich auf Datendiebstahl und Erpressung konzentrieren. Sie verschaffen sich durch bewährte Methoden wie Phishing Zugang zu den Opfern und stehlen die sensibelsten Daten, die sie finden können, ohne datenverschlüsselnde Malware einzusetzen. Die Gruppe rückte ins Rampenlicht, als sie Ende Februar einen Angriff auf Nvidia startete. Mit diesem Angriff betrat LAPSUS$ zum ersten Mal die Weltbühne und begann einen kurzen Raubzug durch große Technologieunternehmen.
Im Gegensatz zu anderen Bedrohungsgruppen operiert LAPSUS$ ausschließlich über eine private Telegram-Gruppe und betreibt keine Leak-Site im Dark Web. Über Telegram kündigt die Gruppe ihre Opfer an und bittet die Community oft um Vorschläge, welche Unternehmensdaten als nächstes veröffentlicht werden sollen. Im Vergleich zu den ausgefeilten, standardisierten Websites von Ransomware-Gruppen (wie AvosLocker, LockBit 2.0, Conti etc.) wirken diese Praktiken unorganisiert und unreif.
DDoS-Attacken und Sicherheitslücken
🔎 Übersicht über LAPSUS$-Angriffe (Bild: Tenable)
Die LAPSUS$-Gruppe, die zuletzt eine Reihe hochkarätiger Ziele angriff, erlangte durch ihre unkonventionellen Taktiken und unberechenbaren Methoden Berühmtheit. Zu den ersten Angriffen gehörten Distributed Denial of Service (DDoS) und Website-Vandalismus. Aber bereits am 21. Januar war die LAPSUS$-Gruppe an dem mehrstufigen Einbruch ins System beteiligt, der schließlich zu dem Vorfall bei Okta führte. Während dieses Reifungsprozesses stützte sich die Gruppe stark auf klassische Taktiken wie den Kauf von Zugangsdaten-Dumps, Social-Engineering-Helpdesks und das Versenden von Aufforderungen zur Multifaktor-Authentifizierung (MFA), um einen ersten Zugang zu den Zielunternehmen zu erhalten.
„Genau wie Ransomware werden auch Erpressungsangriffe kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden“, erklärte Claire Tills, Senior Research Engineer bei Tenable. „Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Reaktionspläne diese Vorfälle effektiv berücksichtigen. Auch wenn es leichtfällt, Bedrohungsgruppen wie LAPSUS$ herunterzuspielen, erinnert uns ihre Störung großer internationaler Technologieunternehmen daran, dass selbst einfache Taktiken ernsthafte Auswirkungen haben können.“
Mehr bei Tenable.com
Über Tenable Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.