İlk olarak Aralık 2021’de tespit edilen LAPSUS$, muhtemelen Portekizce ve İngilizce konuşan genç operatörlerden oluşan kötü niyetli bir gruptur. Grup apolitik olduğunu ve bir devlete bağlı olmadığını iddia ediyor. LAPSUS$ geçmişte ağ izinsiz girişler, DNS sahtekarlığı, web sitesi yayından kaldırmalar ve veri hırsızlığıyla sonuçlanan diğer saldırılar dahil olmak üzere çeşitli saldırı türleri gerçekleştirmiştir. Faaliyetlerinin başlangıcında, LAPSUS$ esas olarak Brezilya, Portekiz ve Birleşik Krallık’ta bulunan kuruluşları hedef aldı.
Ancak, son faaliyetler grubun erişiminin genişlediğini gösteriyor. Grubun 10 Mart 2022’de Telegram kanalında yayınladığı bir mesaj, LAPSUS$ mağduriyetini tanımladı; telekomünikasyon ve video oyun endüstrilerindeki kuruluşlar, çağrı merkezleri ve sunucu barındırma şirketleri kötü niyetli grup tarafından hedef alınmaktadır.
Kim bu yeni kötü niyetli aktörler?
LAPSUS$ grubuna dahil olan operatörlerin miktarı hakkında çok az bilgi mevcuttur. Bununla birlikte, Portekizce yazılan mesajlar ve ilk kurbanlar, bazı operatörlerin Brezilya kökenli olduğunu doğrulama eğilimindedir. Ayrıca, İngiltere’deki son tutuklamalar, İngiliz gençlerin grubun faaliyetlerine katıldığını doğrulamaktadır.
Kendisini diğer siber suç gruplarından ayıran LAPSUS$’ın temel gücü, geçerli tanımlayıcılar elde etmek ve böylece kurumsal ağlara meşru bir şekilde erişim sağlamak için “içeridekilerin” işe alınması gibi görünüyor. Gerçekten de, LAPSUS$, bilgi sistemlerinin ilk güvenliğini, daha sonra onlara para karşılığında VPN, RDP veya CITRIX erişimi satan kötü niyetli işbirlikçilerin yardımıyla gerçekleştirir. Zaten 24 Kasım 2021’de, grupla ilişkili “oklaqq” avatarı – REDDIT forumunda – 20.000 $ tutarında bir işe alım mesajı yayınladı. $ kedi.
30 Mart’a kadar, grubun operatörleri, o zamana kadar yaklaşık 47.000 üyeye sahip olan Telegram kanalları aracılığıyla topluluklarıyla aktif olarak iletişim kuruyorlardı. Örneğin, abonelerinden hangi verilerin yayınlanması gerektiğine karar vermelerini istemek için kanallarında anketler başlatırlar. Ancak LAPSUS$’ın ne bir yayın sitesi ne de sosyal ağlarda hesabı olmadığını belirtmekte fayda var.
Amaç: veri hırsızlığı, imha ve mali kazanç
Grup tarafından gerçekleştirilen saldırıların çeşitliliği ve taleplerinin rastgeleliği, grubun yetkin olduğunu, ancak popülerlik veya finansal kazançtan daha özel bir amacı olmadığını göstermektedir. LAPSUS$, son saldırılarında kurbanın ağına ilk erişim olarak geçerli kimlik bilgilerini kullandı. Ağa girdikten sonra, grup genellikle yayınlamakla tehdit etmeden önce verileri sızdırmaya devam eder.
Bu nedenle, hedefinden ödün verildikten sonra kötü niyetli operatörler, fidye veya ürün değişikliği talepleri gibi çeşitli taleplerde bulunur. Bazı saldırıların saldırganların talebi olmadan sona erdiğini unutmayın.
LAPSUS$, geçmiş açıklamalarda gösterildiği gibi, bir ağdan ödün verme ve verileri başarıyla sızdırma yeteneğini kanıtlamıştır. Aslında grup, devlet kurumları, telekomünikasyon, teknoloji, video oyunu ve medya şirketleri de dahil olmak üzere çok çeşitli kurbanları tehlikeye attı. Ancak diğer gruplardan farklı olarak saldırılar ve talepler kurbandan kurbana değişir.
Kısmen bilinen bir izinsiz giriş oyunu
İlk bulaşma vektörü, Redline Stealer kötü amaçlı yazılımının dağıtımı da dahil olmak üzere çeşitli teknikleri içerir. Bu, özellikle kurbanın makinesinde saklanan şifreleri almalarını sağlar. Dark Web forumlarında geçerli kimlikler satın almak ve yasal kimliklere erişim için ortak çalışanlara veya satıcılara ödeme yapmak da grubun çalışma tarzının bir parçasıdır. Edinilen kimlik bilgileri genellikle sanal özel ağlar (VPN), uzak masaüstü protokolü (RDP), sanal masaüstü altyapısı (VDI) ve kimlik sağlayıcıları dahil olmak üzere internet üzerinden erişilebilen çözümlere ve uygulamalara erişmek için kullanılır.
Sisteme girdikten sonra, saldırganlar genellikle ayrıcalıklarını yükseltmek için kritik güvenlik açıklarından yararlanır. Böylece daha yüksek ayrıcalıklar, mağdurun çevresini amaçlarına göre şekillendirmelerine izin verir. Örneğin, LAPSUS$ operatörleri, sonraki saldırıları gerçekleştirmek için bir hedefin bulut ortamında yeni sanal makineler yarattı.
Operatörler bir organizasyonun bulut hesaplarından taviz vermede başarılı olurlarsa, genellikle – önce bulut altyapısında yönetici hesapları oluşturarak, ardından erişim elde etmek için belirli e-posta kuralları belirleyerek – organizasyonun tüm gelen ve giden e-postalarına ve , son olarak altyapının meşru yönetici hesaplarını silin.
Sızdırma aşaması başarılı olduğunda, saldırganlar bir olay müdahale sürecini tetiklemek için genellikle bulut ve şirket içi kaynakları kaldırır. Önceki saldırılarda, olay müdahale ekipleri, LAPSUS$ operatörlerinin mağdurlar tarafından gerçekleştirilen savunma eylemlerini gözlemlemek ve anlamak için mağdur kriz iletişim toplantılarına katıldığını gözlemlemişti.
LAPSUS$ siber suçlu grubunun operatörleri profesyonel görünmüyor ve sayıları sınırlı – toplamda yaklaşık on gibi görünüyor. Bununla birlikte, geçmişteki açıklamalar, mağdur kuruluşların sistem yöneticilerinin genellikle kendilerinin yetersiz BT hijyenine sahip olduğunu göstermektedir. LAPSUS$’ın gelecekte diğer ağları tehlikeye atma yeteneği, içeriden kişilerin işe alınması yoluyla yüksek kalmaya devam etmelidir. Grubun potansiyel üyelerinin tutuklanması operasyonlarını yavaşlatabilir, ancak LAPSUS$ aktif bir siber suç grubu olarak kabul edilmelidir. Güvenliği ihlal edilmiş verilerin gelecekteki sürümlerinin önümüzdeki haftalarda yayınlanması bekleniyor.
Çeşitli uygulamalar, özellikle: kullanıcıları temel BT güvenliği en iyi uygulamalarından haberdar etmek, IS kaynaklarında en az ayrıcalık ilkesine saygı göstermek ve çok faktörlü erişim yöntemlerini desteklemek gibi, siber saldırganlar tarafından tehlikeye atılma riskini azaltabilir. Saldırganlar tarafından kullanılan taktikler, teknikler ve prosedürler sürekli evrim halinde olduğundan, yeni tehditlerle yüzleşmek için bilgi sistemlerinin savunmasını geliştirmek önemlidir.