Teenager-Erpressergruppe LAPSUS$ deckt Sicherheitslücken auf 

Teenager-Erpressergruppe LAPSUS$ deckt Sicherheitslücken auf 
Anzeige

Beitrag teilen

Die LAPSUS$-Gruppe, die Berichten zufolge aus Teenagern besteht, tauchte Ende letzten Jahres plötzlich in der Cyberszene auf. Sie wurde zu einer der bekanntesten und berüchtigtsten Online-Erpressergruppen, nachdem sie erfolgreich in große Unternehmen wie Microsoft, Samsung, Ubisoft und Okta eingedrungen war.

Claire Tills, Senior Research Engineer bei Tenable, hat einen tiefen Einblick in die Operationen der LAPSUS$-Gruppe gewonnen. Er hat dabei herausgefunden, dass die Taktik der Gruppe zwar dreist, unlogisch und wenig durchdacht ist, aber dennoch erfolgreich war, um bei großen internationalen Technologieunternehmen Störungen zu verursachen. Dies ist eine ernüchternde Erinnerung daran, dass kein Unternehmen wirklich sicher vor Cyberangriffen ist, da mittlerweile große ebenso wie kleine Unternehmen zum Freiwild für die Angreifer geworden sind.

Anzeige

Lapsus$: Datendiebstahl und Erpressung

Im Gegensatz zu Ransomware-Betreibern repräsentiert LAPSUS$ eine wachsende Gruppe von Cyberkriminellen, die sich ausschließlich auf Datendiebstahl und Erpressung konzentrieren. Sie verschaffen sich durch bewährte Methoden wie Phishing Zugang zu den Opfern und stehlen die sensibelsten Daten, die sie finden können, ohne datenverschlüsselnde Malware einzusetzen. Die Gruppe rückte ins Rampenlicht, als sie Ende Februar einen Angriff auf Nvidia startete. Mit diesem Angriff betrat LAPSUS$ zum ersten Mal die Weltbühne und begann einen kurzen Raubzug durch große Technologieunternehmen.

Im Gegensatz zu anderen Bedrohungsgruppen operiert LAPSUS$ ausschließlich über eine private Telegram-Gruppe und betreibt keine Leak-Site im Dark Web. Über Telegram kündigt die Gruppe ihre Opfer an und bittet die Community oft um Vorschläge, welche Unternehmensdaten als nächstes veröffentlicht werden sollen. Im Vergleich zu den ausgefeilten, standardisierten Websites von Ransomware-Gruppen (wie AvosLocker, LockBit 2.0, Conti etc.) wirken diese Praktiken unorganisiert und unreif.

Anzeige

DDoS-Attacken und Sicherheitslücken

🔎 Übersicht über LAPSUS$-Angriffe (Bild: Tenable)

Die LAPSUS$-Gruppe, die zuletzt eine Reihe hochkarätiger Ziele angriff, erlangte durch ihre unkonventionellen Taktiken und unberechenbaren Methoden Berühmtheit. Zu den ersten Angriffen gehörten Distributed Denial of Service (DDoS) und Website-Vandalismus. Aber bereits am 21. Januar war die LAPSUS$-Gruppe an dem mehrstufigen Einbruch ins System beteiligt, der schließlich zu dem Vorfall bei Okta führte. Während dieses Reifungsprozesses stützte sich die Gruppe stark auf klassische Taktiken wie den Kauf von Zugangsdaten-Dumps, Social-Engineering-Helpdesks und das Versenden von Aufforderungen zur Multifaktor-Authentifizierung (MFA), um einen ersten Zugang zu den Zielunternehmen zu erhalten.

„Genau wie Ransomware werden auch Erpressungsangriffe kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden“, erklärte Claire Tills, Senior Research Engineer bei Tenable. „Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Reaktionspläne diese Vorfälle effektiv berücksichtigen. Auch wenn es leichtfällt, Bedrohungsgruppen wie LAPSUS$ herunterzuspielen, erinnert uns ihre Störung großer internationaler Technologieunternehmen daran, dass selbst einfache Taktiken ernsthafte Auswirkungen haben können.“

Mehr bei Tenable.com

 


Über Tenable

Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.


 

Passende Artikel zum Thema

Kryptowährungen und Tokens aus 8.000 Wallets gestohlen

Vor kurzem wurden Millionen Dollar in Form von Kryptowährungen und Tokens aus 8.000 Wallets gestohlen, die mit Solana-Blockchain verbunden sind. Tenable rät ➡ Weiterlesen

Log4j: Mittelstand geht weiter hohes Risiko

Die Mehrheit der Mittelständler ist dem Log4j bzw. Log4Shell-Problem noch nicht auf den Grund gegangen. Nur 40 Prozent sind das ➡ Weiterlesen

Zero Day-Schwachstelle in Google Chrome Browser

Wie Tenable mitteilt, wurde eine Zero Day-Schwachstelle in Googles Browser Chrome gefunden. Man erwartet gezielte Attacken, allerdings mehr auf Personen, ➡ Weiterlesen

KRITIS weiter im Visier auch ein Jahr nach Colinial Pipeline & Co.

Tenable sieht KRITIS Betreiber steigendem Bedrohungspotential ausgesetzt. Auch ein Jahr nach der schweren Attacke auf Colinial Pipeline & Co. mit ➡ Weiterlesen

Exchange Server: viele über ProxyShell-Schwachstelle angreifbar

Obwohl es bereits Patches für die ProxyShell-Schwachstelle auf Microsoft Exchange gibt, werden diese nicht genutzt. Das macht es Cyberkriminellen leicht ➡ Weiterlesen

Malware zielt auf industrielle Steuerungssysteme

Experten von Tenable warnen vor Übernahme von Zugangsdaten: Warnung vor Angriffen auf industrielle Steuerungssysteme mit moderner Malware. Als Reaktion auf ➡ Weiterlesen

Sicherheitslücken Spring Cloud, Spring Core, Spring4Shell

Tenable erklärt die neuen Schwachstellen Spring Cloud, Spring Core - auch bekannt als Spring4Shell - die allerdings nichts mit Log4j oder ➡ Weiterlesen

Cloud Native-Plattform für Anwendungssicherheit – Tenable.cs 

Tenable, das Cyber Exposure-Unternehmen, hat heute neue Funktionen für Tenable.cs, seiner cloud-native Plattform für Anwendungssicherheit, vorgestellt. Tenable.cs bietet cloud-native Sicherheit ➡ Weiterlesen