Who is the LAPSUS$ group?

LAPSUS$グループは、Contiのような大規模で組織化されたサイバー犯罪企業とは対照的な、脅威行為者の緩やかな集団であり、特定の政治グループや哲学とは無関係である。そのメンバーはプロフェッショナルではないと考えられている。しかし、LAPSUS$は、小規模で無秩序な脅威行為者集団であっても、グローバル企業を危険にさらすサイバー犯罪キャンペーンを実行できることを示している。

What is LAPSUS$ ransomware?

LAPSUS$ランサムウェアは、他の有名な身代金ベースの攻撃手法とは異なり、技術的に洗練されていないテクニックを使用し、盗んだ機密データを公開すると脅迫することでターゲットに身代金の支払いを強要しようとします。LAPSUS$ランサムウェアは、有効なRDP、VPN、またはクラウドサービスのアカウントに不正アクセスするために、ソーシャルエンジニアリングと盗まれた認証情報を使用します。

ラプサス$とは？

LAPSUS$グループとは？

LAPSUS$グループ（マイクロソフト社ではDEV-0357と呼ばれている）は、特定の政治グループや哲学とは無関係の脅威行為者の緩やかな集団である。LAPSUS$のメンバーには、「泥棒に仁義なし」という格言が当てはまります。彼らは、盗んだデータを破棄するという約束を守らないことで、ランサムウェアギャングの基準からしてもプロフェッショナルではないことを証明しています。彼らはまた、自分たちの痕跡を隠したり、テクニックを難読化したりする努力をほとんどしていない。

とはいえ、小規模で混沌とした、素朴な脅威行為者のグループであっても、大規模なハイテク企業を侵害し、多額の金銭を強要することは可能です。LAPSUS$は南米が起源で、ポルトガルやラテンアメリカからも多くのメンバーが加わっていると考えられていますが、LAPSUS$の仲間は世界中に広がっています。

LAPSUS$は公開プロフィールを維持し、テレグラムや電子メールを通じて定期的に連絡を取り合っている。オープンな性格のためか、身を隠す効果的な技術的戦略がないためか、ロンドンの警視庁は2022年3月、LAPSUS$のメンバーと思われる16歳から21歳までの7人を戦略的に摘発した。逮捕された2人のみが最終的に起訴され、データの信頼性を損なう目的でコンピューターに不正アクセスした罪3件、虚偽表示による詐欺罪1件、データへのアクセスを妨げる目的でコンピューターに不正アクセスした罪1件に問われた。皮肉なことに、個人または組織の個人情報や機密情報を公開する「ドキシング（doxing）」のウェブサイトを運営するグループが、公開情報を公開されたことに対する報復として、最終的に今回の逮捕につながる情報を提供した。しかし、逮捕はLAPSUS$の活動に大きな影響を与えず、グループは被害者のデータを悪用し、公開し続けている。

LAPSUS$の最新ニュース

Lapsus$：裁判所が10代の若者によるハッキング行為を認定（BBC）
Uber、ハッキングをLAPSUS$グループと関連付け、請負業者を非難(BleepingComputer)
サイバー集団LAPSUS$に関する逮捕者（セキュリティ・インテリジェンス）
脅威の警告：LAPSUS$ - 本物の脅威か、軽微な脅威か(BlackBerry ブログ)

LAPSUS$ランサムウェアとは？

LAPSUS$ランサムウェアは、Conti、Revil、LockBitといった他の有名な身代金ベースの攻撃系統とは異なります。ほとんどのランサムウェア攻撃が高度なマルウェアを使用してファイルを暗号化するのに対し、LAPSUS$攻撃は、従来のマルウェアを完全に排除し、支払いを強要するために盗まれたデータを投稿するという単純な脅迫を伴います。

LAPSUS$は、リモートデスクトップ（RDP）、VPN、またはMicrosoft Office 365などのクラウドサービスの認証情報を窃取してターゲットシステムにアクセスし、機密データの窃取を進めます。LAPSUS$のメンバーは、目的を達成するためにマルウェアを展開することはありませんが、アクセスしたシステムにハッキングソフトウェアツールをインポートし、ネットワークを通じて手動で最初のアクセスを拡張して、価値の高いデータを特定し、それを流出させます。

LAPSUS$攻撃の仕組み

LAPSUS$は、最初のアクセスを得るためにランサムウェア・アズ・ア・サービス(RaaS)を運営するアフィリエイト・モデルを使用せず、メンバーが侵害を最初から最後まで管理します。彼らの攻撃は通常、有効なリモートデスクトップ（RDP）、VPN、またはクラウドアプリケーションのアカウントへの初期アクセスを得るために、ソーシャルエンジニアリング、スピアフィッシング、特にビッシングなどのローテクハッキングテクニックを使用し、一般に公開された認証情報を発見します。LAPSUS$は、SIMスワッピング、インサイダー脅威との連携、ダークウェブでの認証情報の購入など、その他のテクニックを使用することでも知られています。

LAPSUS$の第2段階の手口は、データの流出と公開恐喝を伴うもので、盗まれたデータの公開を防ぐために金銭的な補償を要求します。これは、他の有名なランサムウェアギャングが使用する戦略とは異なり、高度なマルウェアを展開し、ファイルを復号化し、機密データの公開を防ぐために支払いを要求する二重の恐喝を行うことが多い。

LAPSUS$は、ターゲットネットワーク上のJIRA、Confluence、GitLabなどのアプリケーションの既知のセキュリティ脆弱性を悪用し、ソースコードリポジトリに埋め込まれた認証情報を抽出し、AD explorer、DCsync、MimikatzなどのWindowsエクスプロイトツールを使用しようとします。LAPSUS$はまた、ネットワーク上の他のシステムの認証情報を発見し、最初の足場を横方向に拡張して機密データを見つけるための第2段階の戦術として、Redline infostealerマルウェアに依存しています。

一般的なLAPSUS$の戦術、技術、手順（TT&P）

ソーシャル・エンジニアリング、クレデンシャルの窃盗、オンライン検索による一般に公開されたクレデンシャルの発見
盗まれた認証情報により、有効なアカウントに不正にアクセスする。
SIMスワッピング攻撃（別名、SIMスプリッティング、スミッシング、SIMジャッキング、SIMスワッピング）は、被害者の電子メールにアクセスしてアカウントのパスワードをリセットし、多要素認証をバイパスする。
被害者の個人メールアカウントを悪用し、個人情報や認証情報を入手する。
盗まれた認証情報によるマネージド・サービス・プロバイダー（MSP）とクラウド・アプリケーションの侵害
標的組織の不正な従業員、サプライヤ、またはビジネス・パートナーにクレデンシャルや MFA トークンを支払う。
LAPSUS$が管理するサーバーへのデータ流出
盗まれたデータの公開を阻止するための被害者への恐喝

LAPSUS$から身を守るには

盗まれた認証情報を活用するLAPSUS$の能力に対抗するため、厳格な多要素認証と高度なゼロ・トラスト・セキュリティ・ソリューションを導入し、企業リソースの不正使用を防止する。

LAPSUS$の手口は多様かつ場当たり的であるため、単一の防御戦略や緩和策を用いても、LAPSUS$の攻撃的アプローチに完全に対抗することはできません。攻撃の成功を効果的に防ぐには、企業のサイバーセキュリティに対する包括的なアプローチが不可欠です。深層防衛、最小権限アクセス、データ損失防止、24時間365日の監視、脆弱性管理、レッド・チーミング・プログラム、ネットワーク防御の継続的改善など、ITセキュリティの中核となる原則はすべて、企業のサイバーセキュリティ・プログラムに不可欠な要素です。

CylanceGATEWAYがソーシャル・エンジニアリング攻撃を防ぐ

ZTNA（Zero Trust Network Access）は、ソーシャル・エンジニアリング攻撃を防ぐことができます。^{CylanceGATEWAY™}は、脅威者がネットワークにアクセスして横方向に移動し始める前に、ネットワークを保護します。

詳細はこちら