Gençlerden oluştuğu bildirilen LAPSUS$ grubu, geçen yılın sonlarında aniden siber sahnede belirdi. Microsoft, Samsung, Ubisoft ve Okta gibi büyük şirketlere başarılı bir şekilde sızdıktan sonra en tanınmış ve kötü şöhretli çevrimiçi fidye yazılımı gruplarından biri haline geldi.
Tenable'ın Kıdemli Araştırma Mühendisi Claire Tills, LAPSUS$ grubunun operasyonları hakkında derinlemesine bilgi edindi. Grubun taktikleri cesur, mantıksız ve kötü düşünülmüş olsa da, büyük uluslararası teknoloji şirketlerini bozmada başarılı olduklarını keşfetti. Bu, büyük ve küçük işletmeler saldırganlar için adil bir oyun haline geldiğinden, hiçbir işletmenin siber saldırılara karşı gerçekten güvende olmadığına dair ciddi bir hatırlatmadır.
Lapsus$: veri hırsızlığı ve gasp
Fidye yazılımı operatörlerinin aksine LAPSUS$, yalnızca veri hırsızlığı ve şantaj üzerine odaklanan, büyüyen bir siber suçlular grubunu temsil ediyor. Kimlik avı gibi kanıtlanmış yöntemlerle kurbanlara erişim sağlarlar ve veri şifreleyen kötü amaçlı yazılım kullanmadan bulabildikleri en hassas verileri çalarlar. Grup, Şubat ayı sonlarında Nvidia'ya bir saldırı başlattıklarında ilgi odağı haline geldi. Bu saldırı ile LAPSUS$ ilk kez dünya sahnesine çıktı ve büyük teknoloji şirketlerine kısa bir saldırı başlattı.
LAPSUS$, diğer tehdit gruplarının aksine yalnızca özel bir Telegram grubu aracılığıyla çalışır ve bir dark web sızıntı sitesi çalıştırmaz. Grup, Telegram aracılığıyla kurbanlarını duyuruyor ve sık sık topluluktan bir sonraki adımda hangi şirket verilerinin yayınlanacağına dair öneriler istiyor. Fidye yazılımı gruplarının (AvosLocker, LockBit 2.0, Conti vb.) gösterişli, standartlaştırılmış web siteleriyle karşılaştırıldığında, bu uygulamalar düzensiz ve olgunlaşmamış görünüyor.
DDoS saldırıları ve güvenlik açıkları
🔎 LAPSUS$ saldırılarına genel bakış (Resim: Tenable)
Son zamanlarda bir dizi yüksek profilli hedefe saldıran LAPSUS$ grubu, alışılmadık taktikleri ve öngörülemeyen yöntemleriyle kötü bir üne kavuştu. Erken saldırılar, Dağıtılmış Hizmet Reddi (DDoS) ve web sitesi vandalizmini içeriyordu. Ancak 21 Ocak gibi erken bir tarihte, LAPSUS$ grubu, sonunda Okta olayına yol açan çok aşamalı ihlale karıştı. Bu olgunlaşma sırasında grup, hedef şirketlere ilk erişimi elde etmek için kimlik bilgileri dökümü satın alma, sosyal mühendislik yardım masaları ve çok faktörlü kimlik doğrulama (MFA) sorgulamaları gönderme gibi klasik taktiklere büyük ölçüde güvendi.
Tenable'da kıdemli araştırma mühendisi olan Claire Tills, "Fidye yazılımı gibi, gasp saldırıları da çok karmaşık veya çok pahalı hale gelmedikçe asla sona ermeyecek" dedi. “Kuruluşlar, kullanılan taktiklere karşı hangi savunmalara sahip olduklarını, bunların nasıl güçlendirilebileceğini ve müdahale planlarının bu olaylara etkili bir şekilde hitap edip etmediğini düşünmelidir. LAPSUS$ gibi tehdit gruplarını hafife almak kolay olsa da, onların büyük uluslararası teknoloji şirketlerini bozmaları bize basit taktiklerin bile ciddi sonuçları olabileceğini hatırlatıyor.”
Daha fazlası Tenable.com'da
Kiralanabilir Hakkında Tenable bir Cyber Exposure şirketidir. Dünya çapında 24.000'den fazla şirket, siber riski anlamak ve azaltmak için Tenable'a güveniyor. Nessus mucitleri, güvenlik açığı uzmanlıklarını Tenable.io'da birleştirerek, endüstrinin herhangi bir bilgi işlem platformundaki herhangi bir varlığın gerçek zamanlı görünürlüğünü sağlayan ve güvenliğini sağlayan ilk platformunu sağladı. Tenable'ın müşteri tabanı, Fortune 53'ün yüzde 500'ünü, Global 29'in yüzde 2000'unu ve büyük devlet kurumlarını içerir.