Впервые группа хакеров под названием LAPSUS$ заявила о себе в декабре 2021 года, и с тех пор ее активность привлекает внимание экспертов по кибербезопасности. За последние пять месяцев хакеры успешно атаковали крупные компании, включая Microsoft, Nvidia, Okta и Samsung. В отличие от традиционных ransomware-групп, LAPSUS$ не всегда требует выкуп и действует менее предсказуемо, что делает их особенно опасными.
Описание
Мотивация группы остается загадкой, но исследователи предполагают, что движущими силами могут быть жажда славы, финансовые выгоды и даже просто развлечение. Вместо того чтобы использовать сложные технические эксплойты, LAPSUS$ делает ставку на человеческий фактор, что позволяет им обходить даже многофакторную аутентификацию (MFA). Например, они активно применяют кражу файлов cookie, что дает им доступ к корпоративным системам без необходимости взлома паролей.
Особую тревогу вызывает скорость, с которой хакеры эскалируют привилегии внутри взломанных систем. За считанные дни они могут перейти от учетной записи обычного пользователя к административному доступу, что позволяет им контролировать критически важные ресурсы. При этом LAPSUS$ почти не использует вредоносное ПО, полагаясь на легальные инструменты, такие как Sysinternals ADExplorer, для разведки инфраструктуры жертвы.
Одной из излюбленных тактик группы является взлом корпоративных VPN-подключений, которые обеспечивают прямой доступ к внутренней сети. Для этого LAPSUS$ использует фишинговые атаки и компрометацию почтовых ящиков сотрудников, после чего отправляет ложные запросы в службу поддержки, чтобы получить доступ к учетным данным. В некоторых случаях хакеры перемещались по сети через удаленный рабочий стол (RDP), что еще больше осложняло их обнаружение.
Цели атак LAPSUS$ варьируются от утечки конфиденциальных данных до откровенного саботажа. В ряде случаев они массово удаляли виртуальные машины в VMware ESXi и облачных средах, что серьезно затрудняло восстановление инфраструктуры. Для передачи украденных данных злоумышленники используют бесплатные сервисы, такие как filetransfer.io, что усложняет их отслеживание.
Особое внимание LAPSUS$ уделяет хищению исходного кода и запатентованных технологий, атакую Git-репозитории и серверы управления исходным кодом. Это не только наносит финансовый ущерб, но и может привести к утечке API-ключей и других критически важных данных, используемых для управления облачными сервисами.
Несмотря на активность группы, ее структура и участники остаются неизвестными. LAPSUS$ предпочитает общаться через Telegram-канал, но не все атаки анонсируются публично. Их методы, хотя и кажутся простыми, оказались крайне эффективными, что заставляет компании пересматривать свои меры киберзащиты. Эксперты рекомендуют усилить контроль за аутентификационными механизмами, включая мониторинг необычных действий в системе, а также обучать сотрудников противодействию социальной инженерии.
В условиях растущей угрозы со стороны подобных групп корпорациям необходимо быть готовыми не только к финансовым потерям, но и к полномасштабным атакам на инфраструктуру. LAPSUS$ - это наглядный пример того, как хакеры могут добиваться успеха, используя не технические уязвимости, а ошибки людей и недостатки в процессах управления безопасностью.
Индикаторы компрометации
IPv4
- 104.238.222.158
- 108.61.173.214
- 185.169.255.74