Le groupe Lapsus$ utilise un “mélange unique” d’ingénierie sociale et de tactiques centrées sur l’identité

La montée et l’évolution de Lapsus $

Les chercheurs de Mandiant ont remarqué pour la première fois une activité associée au nom du groupe sur des forums clandestins en juillet 2021, parlant d’une société de jeux vidéo que les attaquants prétendaient avoir violée. Les premières attaques ciblaient les comptes de crypto-monnaie pour voler des portefeuilles et des fonds, cependant, le groupe a rapidement élargi son ciblage pour inclure des organisations en Amérique du Sud, y compris les engagements du ministère brésilien de la Santé et des organisations de télécommunications sud-américaines.

“Les choses se sont accélérées depuis lors”, a déclaré Shilko. “En l’espace de quelques mois, nous avons vu toutes les activités malveillantes du groupe, y compris l’activité d’Okta en janvier. Peut-être qu’ils travaillaient déjà sur certains de ces trucs pendant un certain temps.

Le groupe cible désormais les organisations du monde entier, y compris les entreprises des secteurs des télécommunications, de la technologie, des services informatiques et de l’assistance, où il peut doubler les dégâts en tirant parti de l’accès à d’autres organisations partenaires ou fournisseurs compromettantes.

Dans plusieurs incidents, le groupe a extorqué ses victimes en menaçant de divulguer leurs données sensibles à moins qu’elles ne paient, ou il a ciblé des comptes d’utilisateurs individuels sur des échanges de crypto-monnaie pour drainer les avoirs en crypto-monnaie. Cependant, dans d’autres cas, les chercheurs soulignent que l’argent ne semble pas être l’objectif principal. Dans certaines intrusions, par exemple, le groupe s’est contenté de divulguer les données volées aux victimes sans faire de tentative d’extorsion. Et après avoir ciblé Nvidia, Lapsus$ a demandé à la société de supprimer sa fonction de taux de hachage léger (LHR), censée limiter les capacités d’extraction d’Ethereum dans certains produits ; et a également demandé à Nvidia d’ouvrir ses pilotes GPU pour les appareils macOS, Windows et Linux.

L’auteur de la menace suit de près ses victimes avant et après ses compromissions. Afin de mieux comprendre les employés, les structures d’équipe, les services d’assistance, les flux de travail de réponse aux crises et les relations de la chaîne d’approvisionnement d’une entreprise ciblée avant de lancer une attaque, le groupe appellera les services d’assistance de l’organisation pour les inciter à réinitialiser les informations d’identification de la cible, avec la possibilité de répondre à des questions courantes. des invites de récupération telles que la “première rue dans laquelle vous avez vécu” ou le “nom de jeune fille de la mère”.

“Le groupe a utilisé les informations précédemment recueillies (par exemple, les photos de profil) et a demandé à un appelant de langue maternelle anglaise de parler avec le personnel du service d’assistance pour améliorer son attrait d’ingénierie sociale”, selon les chercheurs de Microsoft. “Étant donné que de nombreuses organisations externalisent leur support technique, cette tactique tente d’exploiter ces relations de chaîne d’approvisionnement, en particulier lorsque les organisations donnent à leur personnel de support technique la possibilité d’élever les privilèges.”

Après une intrusion, le groupe a également été observé en train de rejoindre les appels de communication de crise de la victime et les forums de discussion internes Slack ou Teams pour comprendre comment la réponse à l’incident est menée, aidant le groupe à mieux comprendre l’état d’esprit de la victime ou sa connaissance de l’étendue de l’intrusion.

Leave a Comment