0
0
O grupo de extorsão LAPSUS$ ficou quieto após um aumento notório e rápido no cenário de ameaças, visando empresas como Microsoft, NVIDIA e Okta , e ganhando notoriedade por sua abordagem descentralizada e descentralizada ao crime cibernético.
No entanto, os pesquisadores disseram que o grupo provavelmente não se foi – e, em qualquer caso, suas táticas “descaradas” podem deixar um legado.
Um novo relatório da Tenable, especialista em gerenciamento de exposição, analisa o histórico do grupo e as táticas, técnicas e procedimentos (TTPs) que ele usou, amadurecendo desde ataques distribuídos de negação de serviço (DDoS) e vandalismo de sites até métodos mais sofisticados. Isso inclui o uso de técnicas de engenharia social para redefinir senhas de usuários e cooptar ferramentas de autenticação multifator (MFA).
“Caracterizado por comportamento errático e demandas estranhas que não podem ser atendidas – em um ponto, o grupo até acusou um alvo de hackear – o mandato do grupo LAPSUS$ na vanguarda do ciclo de notícias de segurança cibernética foi caótico”, observa o relatório .
Caos, Falta de Lógica Parte do Plano
“Você poderia chamar o LAPSUS$ de ‘um pouco de punk rock’, mas tento evitar que atores ruins soem tão legais”, observa Claire Tills, engenheira de pesquisa sênior da Tenable. “Suas abordagens caóticas e ilógicas aos ataques tornaram muito mais difícil prever ou se preparar para os incidentes, muitas vezes pegando os defensores com o pé atrás”.
Ela explica que talvez devido à estrutura descentralizada do grupo e às decisões de crowdsourcing, seu perfil-alvo está em todo lugar, o que significa que as organizações não podem operar do ponto de vista “não somos um alvo interessante” com atores como LAPSUS$.
Tills acrescenta que é sempre difícil dizer se um grupo de ameaças desapareceu, mudou de marca ou ficou temporariamente inativo.
“Independentemente de o grupo que se identifica como LAPSUS$ reivindicar outra vítima, as organizações podem aprender lições valiosas sobre esse tipo de ator”, diz ela. “Vários outros grupos de extorsão ganharam destaque nos últimos meses, provavelmente inspirados pela breve e turbulenta carreira do LAPSUS$”.
Conforme observado no relatório, os grupos de extorsão provavelmente visam ambientes de nuvem, que geralmente contêm informações confidenciais e valiosas que os grupos de extorsão buscam.
“Eles também são frequentemente mal configurados de forma a oferecer aos invasores acesso a essas informações com permissões mais baixas”, acrescenta Tills. “As organizações devem garantir que seus ambientes de nuvem sejam configurados com princípios de privilégios mínimos e instituir monitoramento robusto para comportamento suspeito”.
Como acontece com muitos atores de ameaças, ela diz, a engenharia social continua sendo uma tática confiável para grupos de extorsão, e o primeiro passo que muitas organizações precisarão dar é assumir que podem ser um alvo.
“Depois disso, práticas robustas como autenticação multifator e sem senha são críticas”, explica ela. “As organizações também devem avaliar e corrigir continuamente vulnerabilidades exploradas conhecidas, principalmente em produtos de rede privada virtual, Remote Desktop Protocol e Active Directory.”
Ela acrescenta que, embora o acesso inicial tenha sido normalmente obtido por meio de engenharia social, as vulnerabilidades legadas são inestimáveis para os agentes de ameaças quando procuram elevar seus privilégios e mover-se lateralmente pelos sistemas para obter acesso às informações mais confidenciais que podem encontrar.
Membros LAPSUS$ provavelmente ainda ativos
Só porque o LAPSUS$ está quieto há meses não significa que o grupo está subitamente extinto. Os grupos de crimes cibernéticos geralmente ficam no escuro para ficar fora dos holofotes, recrutar novos membros e refinar seus TTPs.
“Não ficaríamos surpresos em ver o LAPSUS$ ressurgir no futuro, possivelmente com um nome diferente, em um esforço para se distanciar da infâmia do nome LAPSUS$”, diz Brad Crompton, diretor de inteligência dos Serviços Compartilhados da Intel 471.
Ele explica que, embora os membros do grupo LAPSUS$ tenham sido presos, ele acredita que os canais de comunicação do grupo permanecerão operacionais e que muitas empresas serão alvo de agentes de ameaças uma vez afiliados ao grupo.
“Além disso, também podemos ver esses membros anteriores do grupo LAPSUS$ desenvolver novos TTPs ou potencialmente criar spinoffs do grupo com membros confiáveis do grupo”, diz ele. “No entanto, é improvável que sejam grupos públicos e provavelmente decretarão um grau mais alto de segurança operacional, ao contrário de seus antecessores”.
Dinheiro como principal motivador
Casey Ellis, fundador e CTO da Bugcrowd, um provedor de segurança cibernética de crowdsourcing, explica que os cibercriminosos são motivados por dinheiro, enquanto os estados-nação são motivados por objetivos nacionais. Portanto, embora o LAPSUS$ não esteja seguindo as regras, suas ações são um tanto previsíveis.
“O aspecto mais perigoso, na minha opinião, é que a maioria das organizações passou os últimos cinco ou mais anos desenvolvendo estratégias defensivas simétricas baseadas em agentes de ameaças com definições e objetivos razoavelmente bem definidos”, diz ele. “Quando um ator de ameaça caótico é introduzido na mistura, o jogo se inclina e se torna assimétrico, e minha principal preocupação com LAPSUS$ e outros atores semelhantes é que os defensores não estão realmente se preparando para esse tipo de ameaça há algum tempo.”
Ele ressalta que o LAPSUS$ depende muito da engenharia social para obter uma base inicial, portanto, avaliar a prontidão de sua organização para ameaças de engenharia social, tanto no treinamento humano quanto nos níveis de controle técnico, é uma precaução prudente a ser tomada aqui.
Ellis diz que, embora os objetivos declarados do LAPSUS$ e do Anonymous/Antisec/Lulzsec sejam muito diferentes, ele acredita que eles se comportarão de maneira semelhante no futuro como agentes de ameaças.
Ele diz que a evolução do Anonymous no início de 2010 viu vários subgrupos e atores ganharem destaque, depois desaparecerem, apenas para serem substituídos por outros que replicaram e duplicaram as técnicas de sucesso.
“Talvez o LAPSUS$ tenha desaparecido completamente e para sempre”, diz ele, “mas, como defensor, eu não confiaria nisso como minha principal estratégia defensiva contra esse tipo de ameaça caótica”.
FONTE: DARK READING