Група LAPSUS$, яка, як повідомляється, складається з підлітків, раптово з’явилася на кіберсцені наприкінці минулого року. Вона стала однією з найвідоміших і сумнозвісніших груп онлайн-вимагачів після того, як успішно проникла у такі великі корпорації, як Microsoft, Samsung, Ubisoft і Okta.
Клер Тіллс, старший інженер-дослідник Tenable, глибоко ознайомилася з діяльністю групи LAPSUS$. Він виявив, що хоча тактика групи є сміливою, нелогічною та погано продуманою, вона успішно зруйнувала великі міжнародні технологічні компанії. Це протверезне нагадування про те, що жоден бізнес не є справді захищеним від кібератак, оскільки великі та малі підприємства стали справедливою грою для зловмисників.
Lapsus$: крадіжка даних і вимагання
На відміну від операторів програм-вимагачів, LAPSUS$ представляє зростаючу групу кіберзлочинців, які зосереджені виключно на крадіжці даних і вимаганні. Вони отримують доступ до жертв за допомогою перевірених методів, таких як фішинг, і викрадають найбільш конфіденційні дані, які можуть знайти, не використовуючи зловмисне програмне забезпечення для шифрування даних. Група потрапила в центр уваги, коли наприкінці лютого здійснила атаку на Nvidia. Завдяки цій атаці LAPSUS$ вперше вийшла на світову арену та поклала початок короткому буйству великих технологічних компаній.
На відміну від інших груп загроз, LAPSUS$ працює виключно через приватну групу Telegram і не керує сайтом витоку темної мережі. Через Telegram група оголошує про своїх жертв і часто запитує у спільноти пропозиції щодо того, які дані компанії оприлюднити наступним чином. Порівняно з відшліфованими стандартизованими веб-сайтами груп програм-вимагачів (таких як AvosLocker, LockBit 2.0, Conti тощо), ці практики виглядають неорганізованими та незрілими.
DDoS-атаки та вразливості безпеки
🔎 Огляд атак LAPSUS$ (Зображення: Tenable)
Нещодавно атакуючи кілька відомих цілей, група LAPSUS$ стала сумно відомою своєю нетрадиційною тактикою та непередбачуваними методами. Ранні атаки включали розподілену відмову в обслуговуванні (DDoS) і вандалізм на веб-сайтах. Але вже 21 січня група LAPSUS$ була причетна до багатоетапного злому, який врешті-решт призвів до інциденту в Окті. Під час цього дозрівання група значною мірою покладалася на класичні тактики, такі як купівля дампів облікових даних, служби підтримки соціальної інженерії та надсилання викликів багатофакторної автентифікації (MFA), щоб отримати початковий доступ до цільових компаній.
«Як і програми-вимагачі, атаки здирників ніколи не закінчаться, якщо вони не стануть надто складними або занадто дорогими», — сказала Клер Тіллс, старший інженер-дослідник Tenable. «Організації повинні розглянути, які засоби захисту вони мають від використаної тактики, як їх можна посилити та чи ефективні їхні плани реагування на ці інциденти. Хоча легко применшити такі групи загроз, як LAPSUS$, їхній зрив у великих міжнародних технологічних компаніях нагадує нам, що навіть проста тактика може мати серйозні наслідки».
Більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.