Der merkwürdige Name LAPSUS$ gemacht riesige Schlagzeilen im März 2022 als Spitzname einer Hacking-Gang oder, in ungeschminkten Worten, als Label für ein berüchtigtes und aktives Kollektiv von Cyberkriminellen:
Der Name war etwas ungewöhnlich für eine Cybercrime-Crew, die üblicherweise Spitznamen verwendet, die kantig und destruktiv klingen, wie z Riegel, Satan, Darkside und revil.
Wie wir bereits im März erwähnt haben, Ablauf ist ein ebenso gutes modernes lateinisches Wort wie jedes andere für „Datenschutzverletzung“, und das nachgestellte Dollarzeichen bedeutet sowohl finanziellen Wert als auch Programmierung, da es die traditionelle Art ist, anzuzeigen, dass die BASIC-Variable eine Textzeichenfolge und keine Zahl ist.
Die Bande, das Team, die Crew, die Posse, das Kollektiv, die Schar, nennen Sie es, wie Sie wollen, von Angreifern zeigten offenbar eine ähnliche Art von Mehrdeutigkeit in ihrer Cyberkriminalität.
Manchmal schienen sie zu zeigen, dass sie es ernst meinten, Geld zu erpressen oder Kryptowährung von ihren Opfern abzuzocken, aber zu anderen Zeiten schienen sie einfach nur anzugeben.
Microsoft gab damals zu, dass dies der Fall war infiltriert von LAPSUS$, obwohl der Softwareriese die Gruppe als DEV-5037 bezeichnete, wobei die Kriminellen offenbar Gigabytes an Quellcode stahlen.
Okta, ein 2FA-Dienstleister, war ein weiteres hochkarätiges Opfer, bei dem die Hacker RDP-Zugriff auf den Computer eines Support-Technikers erlangten und daher auf eine Vielzahl von Oktas internen Systemen zugreifen konnten, als wären sie direkt in Oktas eigenes Netzwerk eingeloggt .
Dieser Support-Techniker arbeitete nicht für Okta, sondern für ein von Okta beauftragtes Unternehmen, sodass die Angreifer im Wesentlichen in der Lage waren, das Netzwerk von Okta zu durchbrechen, ohne Okta selbst zu verletzen.
Interessanterweise gaben weder Okta noch sein Auftragnehmer etwa zwei Monate lang ein öffentliches Eingeständnis des Verstoßes ab, obwohl der Verstoß von Okta im Januar 2022 stattfand, während a gerichtsmedizinische Untersuchung fand statt…
… bis LAPSUS$ offenbar beschlossen hat, einer offiziellen Ankündigung zuvorzukommen Screenshots ausgeben um den Verstoß zu „beweisen“, ironischerweise am selben Tag, an dem Okta den endgültigen forensischen Bericht vom Auftragnehmer erhielt (wie oder ob LAPSUS$ vor der Zustellung des Berichts gewarnt wurde, ist unbekannt):
Als nächstes stand der Grafikchiphersteller Nvidia auf der Liste, der offenbar auch einen Datendiebstahl erlitt, gefolgt von einem der die seltsamsten Ransomware-mit-einem-Unterschied-Erpressungsforderungen aktenkundig – Open-Source-Code Ihres Grafiktreibers, oder sonst:
Wie wir im Naked Security-Podcast sagten (S3 Ep73):
Normalerweise ist die Verbindung zwischen Kryptowährung und Ransomware die Gaunerfigur: „Gehen Sie und kaufen Sie eine Kryptowährung und senden Sie sie uns, und wir entschlüsseln alle Ihre Dateien und/oder löschen Ihre Daten.“ […]
Aber in diesem Fall war die Verbindung zur Kryptowährung, dass sie sagten: „Wir werden die riesige Menge an Daten, die wir gestohlen haben, vergessen, wenn Sie Ihre Grafikkarten öffnen, damit sie mit voller Kraft kryptographieren können.“
Denn das geht auf eine Änderung zurück, die Nvidia letztes Jahr [2021] vorgenommen hat, die bei Spielern sehr beliebt war [indem Kryptominer davon abgehalten wurden, alle Nvidia-GPUs auf dem Markt für Nicht-Grafikzwecke aufzukaufen].
Eine andere Art von Cyberkriminellen?
Obwohl die Online-Aktivitäten, die LAPSUS$ zugeschrieben werden, ernsthaft und unverschämt kriminell waren, wirkte das Post-Exploitation-Verhalten der Gruppe oft ziemlich altmodisch.
Im Gegensatz zu den heutigen Multimillionen-Dollar-Ransomware-Angreifern, deren Hauptmotivation Geld, Geld und noch mehr Geld ist, orientierte sich LAPSUS$ offensichtlich eher an der Virenschreiberszene der späten 1980er und 1990er Jahre, wo Angriffe im Allgemeinen einfach durchgeführt wurden, um damit anzugeben und „für der Lulz“.
(Der Satz für die lulz übersetzt ungefähr so um beleidigend fröhliches Gelächter zu provozieren, basierend auf dem Akronym LOL, kurz für „laut lachen“.)
Als die Polizei der City of London nur zwei Tage nach dem Erscheinen der nicht ganz so fröhlichen Screenshots des Okta-Angriffs bekannt gab, dass sie es getan hatte verhaftet was wie ein zusammengewürfelter Haufen junger Leute in Großbritannien klang, weil sie angeblich Mitglieder einer Hacking-Gruppe waren …
…die IT-Medien der Welt schnell eine Verbindung zu LAPSUS$ herstellten:
Soweit uns bekannt ist, haben die britischen Strafverfolgungsbehörden das Wort LAPSUS$ nie im Zusammenhang mit den Verdächtigen dieser Festnahme verwendet, sondern lediglich im März 2022 festgestellt „Unsere Ermittlungen dauern an.“
Dennoch wurde eine offensichtliche Verbindung mit LAPSUS$ aus der Tatsache gefolgert, dass einer der gefesselten Jugendlichen angeblich 17 Jahre alt war und aus Oxfordshire in England stammte.
Faszinierenderweise war ein Hacker dieses Alters, der angeblich in einer Stadt außerhalb von Oxford lebte, der Stadt, von der die umliegende Grafschaft ihren Namen hat, nicht lange zuvor von einem verärgerten Rivalen der Cyberkriminalität geoutet worden, in dem, was als a bekannt ist Doxxing.
Beim Doxxing gibt ein Cyberkrimineller absichtlich gestohlene persönliche Dokumente und Details frei, oft um eine Person der Gefahr der Verhaftung durch die Strafverfolgungsbehörden oder der Gefahr von Vergeltung durch schlecht informierte oder böswillige Gegner auszusetzen.
Der Doxxer ließ angeblich die Privatadresse seines Rivalen durchsickern, zusammen mit persönlichen Daten und Fotos von ihm und engen Familienmitgliedern sowie einer Reihe von Behauptungen, dass er eine Art Dreh- und Angelpunkt in der LAPSUS$-Crew sei.
LAPUS$ wieder im Rampenlicht
Wie Sie sich vorstellen können, die jüngsten Uber-Hacking-Geschichten belebte den Namen LAPSUS$ wieder, da der Angreifer in diesem Fall allgemein behauptet wurde, 18 Jahre alt zu sein, und anscheinend nur daran interessiert war, anzugeben:
Wie Chester Wisniewski kürzlich in einem Artikel erklärte Podcast-Minisode:
[I]n diesem Fall […] scheint es „für die Lulz“ zu sein. [… Die Person, die es getan hat, sammelte hauptsächlich Trophäen, während sie durch das Netzwerk sprangen – in Form von Screenshots aller [der] verschiedenen Tools und Dienstprogramme und Programme, die bei Uber verwendet wurden – und veröffentlichte sie öffentlich, denke ich für den Straßenkredit.
Kurz nach dem Uber-Hack wurden nach einem Eindringen in Rockstar-Spiele fast eine Stunde lang Videoclips aus dem kommenden Spiel GTA6 veröffentlicht, anscheinend Screenshots, die zu Debugging- und Testzwecken erstellt wurden.
Wieder einmal war derselbe junge Hacker mit derselben mutmaßlichen Verbindung zu LAPSUS$ in den Angriff verwickelt.
Diesmal berichtet vorschlagen dass der Hacker mehr im Sinn hatte, als nur mit Rechten zu prahlen, angeblich sagte er, dass sie es seien „Ich möchte einen Deal aushandeln.“
Also, wenn die Polizei der Stadt London twitterte Anfang dieser Woche, die sie hatten „einen 17-Jährigen in Oxfordshire wegen Hacking-Verdachts festgenommen“...
Am Abend des 22. September 2022 verhaftete die Polizei der City of London im Rahmen einer von der @NCA_DE's National Cyber Crime Unit (NCCU).
Er bleibt in Polizeigewahrsam. pic.twitter.com/Zfa3OlDR6J
– Polizei der Stadt London (@CityPolice) 23. September 2022
…Sie können sich vorstellen, zu welchen Schlussfolgerungen die Twittersphäre schnell gelangt ist.
Es muss dieselbe Person sein!
Wie hoch ist die Wahrscheinlichkeit, dass wir hier über zwei verschiedene und voneinander unabhängige Verdächtige sprechen?
Das einzige, was wir nicht wissen, ist, wo genau der Spitzname LAPSUS$ ins Spiel kommt, wenn er überhaupt involviert ist.
O, was für ein verworrenes Netz weben wir / Wenn wir das erste Mal üben zu täuschen.
ERFAHREN SIE, WIE SIE LAPSUS$-ANGRIFFE VERMEIDEN KÖNNEN
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.