LAPSUS$ gasp grubu, Microsoft, NVIDIA ve Okta gibi şirketleri hedef alan ve siber suçlara yönelik serbest, merkezi olmayan yaklaşımıyla ün kazanan, tehdit ortamında kötü şöhretli ve hızlı bir yükselişin ardından sessizliğe büründü.
Ancak araştırmacılar, grubun büyük olasılıkla gitmediğini ve her durumda “küstah” taktiklerinin bir miras bırakabileceğini söyledi.
Maruz kalma yönetimi uzmanı Tenable’ın yeni bir raporu, dağıtılmış hizmet reddi (DDoS) saldırılarından ve web sitesi vandalizminden daha karmaşık yöntemlere kadar olgunlaşan, grubun arka planına ve kullandığı taktiklere, tekniklere ve prosedürlere (TTP’ler) giriyor. Bunlar, kullanıcı parolalarını sıfırlamak ve çok faktörlü kimlik doğrulama (MFA) araçlarını kullanmak için sosyal mühendislik tekniklerinin kullanımını içerir.
“Düzensiz davranışlar ve karşılanamayan tuhaf taleplerle karakterize edilen – bir noktada grup, bir hedefi hacklemekle bile suçladı – LAPSUS$ grubunun siber güvenlik haber döngüsünün ön saflarındaki görev süresi kaotikti,” dedi. rapor notları.
Kaos, Mantık Eksikliği Planın Parçası
Tenable’da kıdemli araştırma mühendisi Claire Tills, “LAPSUS$’a kesinlikle ‘küçük bir punk rock’ diyebilirsiniz, ama ben kötü oyuncuları bu kadar havalı göstermekten kaçınmaya çalışıyorum” diyor. “Saldırılara yönelik kaotik ve mantıksız yaklaşımları, olayları tahmin etmeyi veya olaylara hazırlanmayı çok daha zor hale getirdi ve genellikle defans oyuncularını arka ayakta yakaladı.”
Belki de grubun merkezi olmayan yapısı ve kitle kaynaklı kararları nedeniyle hedef profilinin her yerde olduğunu açıklıyor, bu da kuruluşların LAPSUS$ gibi aktörlerle “ilginç bir hedef değiliz” bakış açısıyla çalışamayacağı anlamına geliyor.
Tills, bir tehdit grubunun ortadan kaybolduğunu, yeniden markalandığını veya geçici olarak hareketsiz kaldığını söylemenin her zaman zor olduğunu ekliyor.
“Kendilerini LAPSUS$ olarak tanımlayan grubun başka bir kurban talep edip etmediğine bakılmaksızın, kuruluşlar bu tür aktörler hakkında değerli dersler alabilir” diyor. “Son aylarda, muhtemelen LAPSUS$’ın kısa ve şamatacı kariyerinden esinlenerek, yalnızca şantaj amaçlı diğer birkaç grup öne çıktı.”
Raporda belirtildiği gibi, gasp gruplarının, genellikle gasp gruplarının aradığı hassas, değerli bilgileri içeren bulut ortamlarını hedeflemesi muhtemeldir.
Tills, “Saldırganların bu tür bilgilere daha düşük izinlerle erişmesini sağlayacak şekilde genellikle yanlış yapılandırılmışlar” diye ekliyor. “Kuruluşlar, bulut ortamlarının en az ayrıcalık ilkeleriyle yapılandırıldığından emin olmalı ve şüpheli davranışlar için sağlam izleme sağlamalıdır.”
Pek çok tehdit aktöründe olduğu gibi, sosyal mühendisliğin şantaj grupları için güvenilir bir taktik olmaya devam ettiğini ve birçok kuruluşun atması gereken ilk adımın, hedef olabileceklerini varsaymak olduğunu söylüyor.
“Bundan sonra, çok faktörlü ve parolasız kimlik doğrulama gibi sağlam uygulamalar kritik önem taşıyor” diye açıklıyor. “Kuruluşlar ayrıca, özellikle sanal özel ağ ürünleri, Uzak Masaüstü Protokolü ve Active Directory üzerindeki bilinen-sömürülen güvenlik açıklarını sürekli olarak değerlendirmeli ve düzeltmelidir.”
İlk erişim tipik olarak sosyal mühendislik yoluyla sağlanırken, eski güvenlik açıklarının, ayrıcalıklarını yükseltmeye ve bulabildikleri en hassas bilgilere erişmek için sistemler arasında yanal olarak hareket etmeye çalışan tehdit aktörleri için çok değerli olduğunu ekliyor.
LAPSUS$ Üyeleri Muhtemelen Hala Aktif
LAPSUS$’ın aylardır sessiz kalması, grubun aniden dağıldığı anlamına gelmiyor. Siber suç grupları genellikle ilgi odağı olmamak, yeni üyeler kazanmak ve TTP’lerini iyileştirmek için karanlıkta kalır.
Intel 471’in Paylaşılan Hizmetleri istihbarat direktörü Brad Crompton, “LAPSUS$’ın gelecekte, muhtemelen LAPSUS$ adının kötü şöhretinden uzaklaşmak amacıyla farklı bir ad altında yeniden ortaya çıktığını görmek bizi şaşırtmaz” diyor.
LAPSUS$ grup üyeleri tutuklanmış olsa bile, grubun iletişim kanallarının çalışmaya devam edeceğine ve bir kez gruba dahil olduktan sonra birçok işletmenin tehdit aktörleri tarafından hedef alınacağına inandığını açıklıyor.
“Ayrıca, bu önceki LAPSUS$ grup üyelerinin yeni TTP’ler geliştirdiğini veya potansiyel olarak güvenilir grup üyeleriyle grubun yan ürünlerini oluşturduğunu da görebiliriz” diyor. “Ancak, bunların halka açık gruplar olması pek olası değil ve muhtemelen öncekilerden farklı olarak daha yüksek derecede operasyonel güvenlik sağlayacak.”
Ana Motive Edici Olarak Para
Kitle kaynaklı bir siber güvenlik sağlayıcısı olan Bugcrowd’un kurucusu ve CTO’su Casey Ellis, siber suçluların parayla, ulus devletlerin ise ulusal hedeflerle motive edildiğini açıklıyor. Dolayısıyla, LAPSUS$ kurallarına göre oynamasa da, eylemleri biraz tahmin edilebilir.
“Bence en tehlikeli yön, çoğu kuruluşun son beş veya daha fazla yılı, makul derecede iyi tanımlanmış tanımları ve hedefleri olan tehdit aktörlerine dayalı simetrik savunma stratejileri geliştirmekle geçirmesidir” diyor. “Karışıma kaotik bir tehdit aktörü dahil edildiğinde, oyun eğilir ve asimetrik hale gelir ve LAPSUS$ ve diğer benzer aktörlerle ilgili temel endişem, savunucuların bir süredir bu tür bir tehdide gerçekten hazırlanmadıklarıdır.”
LAPSUS$’ın bir başlangıç noktası elde etmek için büyük ölçüde sosyal mühendisliğe dayandığına dikkat çekiyor, bu nedenle kuruluşunuzun hem insan eğitimi hem de teknik kontrol seviyelerinde sosyal mühendislik tehditlerine hazır olup olmadığını değerlendirmek, burada alınması gereken ihtiyatlı bir önlemdir.
Ellis, LAPSUS$ ve Anonymous/Antisec/Lulzsec’in belirtilen hedeflerinin çok farklı olmasına rağmen, gelecekte tehdit aktörleri olarak benzer şekilde davranacaklarına inandığını söylüyor.
Anonymous’un 2010’ların başındaki evriminin, çeşitli alt grupların ve aktörlerin ön plana çıktığını, sonra ortadan kaybolduğunu, yalnızca başarılı teknikleri kopyalayan ve ikiye katlayan başkaları tarafından değiştirildiğini söyledi.
“Belki LAPSUS$ tamamen ve sonsuza dek ortadan kayboldu,” diyor ve “bir defans oyuncusu olarak, bu tür kaotik tehdide karşı birincil savunma stratejim olarak buna güvenmem.”