Впервые LAPSUS$ появилась на публике в декабре 2021 года. За последние 5 месяцев LAPSUS$ получила широкую известность благодаря успешным взломам некоторых крупных предприятий, включая Microsoft, Nvidia, Okta и Samsung. Об этой группе до сих пор мало что известно, а ее мотивами, судя по всему, являются репутация, деньги и "для смеха".
LAPSUS$
Уведомления или ответственность LAPSUS$ за жертв обычно передаются через их телеграм-канал, а в одном случае DNS-записи жертвы были перенастроены на домены/веб-сайты, контролируемые LAPSUS$. Однако не обо всех жертвах или нарушениях активно сообщается через их телеграм-канал, и некоторым жертвам не предлагается выкуп. Это отличает их от более традиционных групп ransomware, которые имеют четкий modus operandi и явно ориентированы на финансовую деятельность. В результате этого LAPSUS$ менее предсказуемы, что, возможно, и стало причиной их недавнего успеха.
Примечательно, что большинство действий LAPSUS$ используют человеческий фактор, а не технические недостатки или уязвимости. Несмотря на то, что потенциально эти методы могут рассматриваться как простые или базовые, они оказались успешными, поэтому организациям крайне важно предусмотреть меры контроля и смягчения последствий для борьбы с ними.
Анализ угроз показывает, что LAPSUS$ использует несколько методов для получения начального доступа.
Считается, что основным источником первоначального доступа является кража аутентификационных файлов cookie, которые предоставляют злоумышленнику доступ к определенному приложению. Эти cookies обычно имеют форму приложений для однократной регистрации (SSO), что позволяет злоумышленнику переходить в другие корпоративные приложения в обход таких средств контроля, как многофакторная аутентификация (MFA).
Сбор учетных данных и повышение привилегий - ключевые компоненты взломов LAPSUS$. Быстрая эскалация привилегий группы LAPSUS$ привела к тому, что в течение нескольких дней группа поднялась с учетной записи обычного пользователя до административного пользователя.
LAPSUS$ практически не использует вредоносное ПО. LAPSUS$ использует легитимный инструмент Sysinternals ADExplorer, который применялся для разведки среды жертвы.
Доступ к корпоративным сетям VPN является основным объектом внимания этой группы, поскольку он позволяет субъектам угроз получить прямой доступ к ключевой инфраструктуре, необходимой им для достижения своих целей.
LAPSUS$ использует взломанные учетные записи электронной почты сотрудников для отправки сообщений в службу поддержки с просьбой предоставить учетные данные или поддержку для получения доступа к корпоративной сети VPN.
В одном из инцидентов LAPSUS$ наблюдалось перемещение по среде жертвы через RDP.
Действия LAPSUS$ по достижению целей, по-видимому, направлены на утечку конфиденциальной информации, а также на разрушение. В одном конкретном инциденте было замечено, что использовался бесплатный сервис передачи файлов "filetransfer.io".
Наблюдается нарушение и разрушение клиентских сред, например:
- отключение виртуальных машин в локальной инфраструктуре VMware ESXi
- массовое удаления виртуальных машин, хранилищ и конфигураций в облачных средах
Что затрудняет восстановление жертвы и проведение аналитической работы следственной группой.
Кража данных, о которой сообщалось, в основном сосредоточена на исходном коде приложений или запатентованной технической информации. При этом объектом атаки становятся внутренние серверы управления исходным кодом или репозитории. Эти git-репозитории могут содержать не только коммерчески важную интеллектуальную собственность, но и в некоторых случаях могут включать дополнительные API-ключи к чувствительным приложениям, включая административные или облачные приложения.
Indicators of Compromise
IPv4
- 104.238.222.158
- 108.61.173.214
- 185.169.255.74