谁是 LAPSUS$ 集团?
LAPSUS$ 组织(微软称之为 DEV-0357)是一个由威胁行为者组成的松散集体,与任何特定的政治团体或理念无关。盗亦有道 "这句格言适用于 LAPSUS$ 成员:他们不履行销毁被盗数据的承诺,这表明他们是不专业的--即使以勒索软件团伙的标准来看也是如此。他们也几乎不遗余力地掩盖自己的行踪或混淆自己的技术。
然而,即使是一个规模小、混乱且不成熟的威胁行动者组织,也能入侵大型科技公司并勒索巨额资金。尽管 LAPSUS$ 的成员遍布全球,但该组织被认为源于南美,另有许多成员来自葡萄牙和拉丁美洲。
LAPSUS$ 保持公开形象,并定期通过 Telegram 和电子邮件进行交流。也许是由于他们的公开性或缺乏有效的技术策略来隐藏自己,伦敦大都会警察局于 2022 年 3 月对 7 名年龄从 16 岁到 21 岁不等的人实施了战略性抓捕,据信他们是 LAPSUS$ 的成员。最终只有两名被捕者受到指控,分别被控三项未经授权访问计算机意图损害数据可靠性的罪名、一项虚假陈述欺诈罪和一项未经授权访问计算机意图阻碍数据访问的罪名。具有讽刺意味的是,一个 "dxxing"(公开披露个人或组织的个人或敏感信息)网站背后的组织提供了信息,最终导致了这些逮捕,以报复他们的公开信息被披露。然而,这些逮捕行动未能对 LAPSUS$ 的行动产生重大影响;该组织继续利用并公开发布受害者的数据。
最新消息
- Lapsus$:法院认定青少年实施了疯狂黑客攻击(BBC)
- Uber 将漏洞与 LAPSUS$ 集团相关联,并将黑客行为归咎于承包商(BleepingComputer)
- 逮捕与 LAPSUS$ 网络犯罪团伙有关的人员(安全情报局)
- 威胁警报:LAPSUS$ - 真正的威胁还是小威胁?(BlackBerry 博客)
什么是 LAPSUS$ 勒索软件?
LAPSUS$ 勒索软件与 Conti、REvil 和 LockBit 等其他知名的勒索病毒攻击不同。大多数勒索软件攻击都采用复杂的恶意软件来加密文件,而 LAPSUS$ 攻击则完全放弃了传统的恶意软件,仅威胁发布窃取的数据来胁迫用户付款。
LAPSUS$ 通过窃取远程桌面 (RDP)、VPN 或微软 Office 365 等云服务的凭证访问目标系统,然后窃取敏感数据。尽管 LAPSUS$ 成员可能不会部署恶意软件来实现其目标,但他们会将黑客软件工具导入其访问的系统,并通过网络手动扩展其初始访问权限,以识别高价值数据并将其外流。
LAPSUS$ 并不使用联盟模式来运营赎金软件即服务 (RaaS) 以获取初始访问权限;相反,成员从头到尾管理漏洞。他们的攻击通常采用低技术含量的黑客技术,如社交工程 --网络钓鱼、鱼叉式网络钓鱼,尤其是网络钓鱼--以及发现公开暴露的凭据,以获得对有效远程桌面 (RDP)、VPN 或云应用程序账户的初始访问权限。LAPSUS$ 还以使用其他技术而闻名,如 SIM 卡交换、与内部威胁合作以及在暗网上购买凭证。
LAPSUS$ 的第二阶段策略涉及数据外渗和公开勒索,要求提供经济补偿以防止被盗数据泄露。这与其他知名勒索软件团伙使用的策略不同,后者通常部署高级恶意软件进行双重勒索,要求支付解密文件和防止敏感数据泄露的费用。
在横向移动方面,LAPSUS$ 利用目标网络上 JIRA、Confluence 和 GitLab 等应用程序中的已知安全漏洞,然后尝试提取嵌入源代码库中的凭证,并使用 AD explorer、DCSync 和 Mimikatz 等 Windows 利用工具。LAPSUS$ 还依赖Redline 信息窃取恶意软件作为第二阶段策略,以发现网络上其他系统的凭证,并横向扩展其初始立足点以查找敏感数据。
LAPSUS$ 常用战术、技巧和程序 (TT&P)
- 社会工程、凭证盗窃以及通过在线搜索查找公开曝光的凭证
- 通过被盗凭据在未经授权的情况下访问有效账户
- SIM 卡互换攻击(又称 SIM 卡拆分、Smishing、SIM 卡劫持和 SIM 卡互换),用于访问受害者的电子邮件以重置账户密码和绕过多因素身份验证
- 滥用受害者的个人电子邮件账户以获取个人信息和凭证
- 管理服务提供商 (MSP) 和云应用程序利用被盗凭据进行泄密
- 向目标组织的腐败员工、供应商或业务合作伙伴支付凭证和 MFA 令牌
- 将数据外泄到 LAPSUS$ 控制的服务器上
- 勒索受害者以阻止公开被盗数据
