Nama yang penasaran LAPSUS$ terbuat berita utama besar pada Maret 2022 sebagai julukan geng peretasan, atau, dengan kata-kata sederhana, sebagai label untuk kolektif penjahat dunia maya yang terkenal dan aktif:
Nama itu agak tidak biasa untuk kru kejahatan dunia maya, yang umumnya mengadopsi julukan yang terdengar edgy dan destruktif, seperti MATI, Setan, Darkside, dan Jahat.
Namun, seperti yang kami sebutkan di bulan Maret, selang adalah kata Latin modern yang sama bagusnya dengan kata lain untuk "pelanggaran data", dan tanda dolar tambahan menandakan nilai finansial dan pemrograman, menjadi cara tradisional untuk menunjukkan bahwa variabel BASIC adalah string teks, bukan angka.
Geng, tim, kru, pagar betis, kolektif, gaggle, sebut saja sesuka Anda, penyerang tampaknya menghadirkan ambiguitas serupa dalam kejahatan dunia maya mereka.
Kadang-kadang, mereka tampaknya menunjukkan bahwa mereka serius memeras uang atau merampok cryptocurrency dari korban mereka, tetapi di lain waktu mereka tampaknya hanya pamer.
Microsoft mengakui pada saat itu bahwa itu telah disusupi oleh LAPSUS$, meskipun raksasa perangkat lunak itu menyebut kelompok itu sebagai DEV-5037, dengan para penjahat tampaknya mencuri gigabyte kode sumber.
Okta, penyedia layanan 2FA, adalah korban profil tinggi lainnya, di mana para peretas memperoleh akses RDP ke komputer teknisi pendukung, dan oleh karena itu dapat mengakses berbagai sistem internal Okta seolah-olah mereka masuk langsung ke jaringan Okta sendiri .
Teknisi dukungan itu tidak bekerja untuk Okta, tetapi untuk perusahaan yang dikontrak oleh Okta, sehingga penyerang pada dasarnya dapat menembus jaringan Okta tanpa melanggar Okta itu sendiri.
Menariknya, meskipun pelanggaran Okta terjadi pada Januari 2022, baik Okta maupun kontraktornya tidak membuat pengakuan publik atas pelanggaran tersebut selama sekitar dua bulan. pemeriksaan forensik ambil tempat…
…sampai LAPSUS$ tampaknya memutuskan untuk mendahului pengumuman resmi dengan membuang tangkapan layar untuk “membuktikan” pelanggaran tersebut, ironisnya pada hari yang sama ketika Okta menerima laporan forensik akhir dari kontraktor (bagaimana, atau jika, LAPSUS$ mendapat peringatan awal pengiriman laporan tidak diketahui):
Berikutnya pada map serangan adalah vendor chip grafis Nvidia, yang tampaknya juga mengalami pencurian data, diikuti oleh salah satu dari mereka. tuntutan pemerasan ransomware-dengan-perbedaan yang paling aneh on record – open source kode driver grafis Anda, atau yang lain:
Seperti yang kami katakan di podcast Keamanan Telanjang (S3 Ep73):
Biasanya, hubungan antara cryptocurrency dan ransomware adalah sosok penjahat, “Pergi dan beli beberapa cryptocurrency dan kirimkan kepada kami, dan kami akan mendekripsi semua file Anda dan/atau menghapus data Anda.” […]
Tetapi dalam kasus ini, hubungan dengan cryptocurrency adalah mereka berkata, “Kami akan melupakan semua jumlah besar data yang kami curi jika Anda membuka kartu grafis Anda sehingga mereka dapat melakukan cryptomine dengan kekuatan penuh.”
Karena itu kembali ke perubahan yang dibuat Nvidia tahun lalu [2021], yang sangat populer di kalangan gamer [dengan mencegah cryptominers membeli semua GPU Nvidia di pasar untuk tujuan non-grafis].
Penjahat dunia maya yang berbeda?
Karena semua aktivitas online yang dikaitkan dengan LAPSUS$ adalah kejahatan yang serius dan tanpa malu-malu, perilaku kelompok pasca-eksploitasi sering kali tampak agak kuno.
Tidak seperti penyerang ransomware jutaan dolar saat ini, yang motivasi utamanya adalah uang, uang, dan lebih banyak uang, LAPSUS tampaknya lebih selaras dengan adegan penulisan virus pada akhir 1980-an dan 1990-an, di mana serangan biasanya dilakukan hanya untuk menyombongkan diri dan “untuk luz”.
(Frasa untuk lulz diterjemahkan secara kasar sebagai untuk memancing tawa yang sangat menghina, berdasarkan akronim LOL, kependekan dari "tertawa terbahak-bahak".)
Jadi, ketika Polisi Kota London mengumumkan, hanya dua hari setelah tangkapan layar serangan Okta yang tidak terlalu menggembirakan muncul, itu telah ditangkap apa yang terdengar seperti sekelompok anak muda beraneka ragam di Inggris karena diduga menjadi anggota kelompok peretasan...
…media IT dunia dengan cepat terhubung dengan LAPSUS$:
Sejauh yang kami ketahui, penegak hukum Inggris tidak pernah menggunakan kata LAPSUS$ sehubungan dengan tersangka dalam penangkapan itu, mencatat pada Maret 2022 hanya bahwa "Pertanyaan kami tetap berlangsung."
Namun demikian, hubungan yang jelas dengan LAPSUS$ disimpulkan dari fakta bahwa salah satu anak muda yang ditangkap dikatakan berusia 17 tahun, dan berasal dari Oxfordshire di Inggris.
Menariknya, seorang hacker seusia itu yang diduga tinggal di sebuah kota di luar Oxford, kota di mana county di sekitarnya mendapatkan namanya, telah dikalahkan oleh saingan kejahatan dunia maya yang tidak puas tidak lama sebelumnya, dalam apa yang dikenal sebagai doxxing.
Doxxing adalah tempat penjahat dunia maya merilis dokumen dan detail pribadi yang dicuri dengan sengaja, seringkali untuk menempatkan seseorang pada risiko penangkapan oleh penegak hukum, atau dalam bahaya pembalasan oleh lawan yang kurang informasi atau jahat.
Doxxer membocorkan apa yang dia klaim sebagai alamat rumah saingannya, bersama dengan detail pribadi dan foto dia dan anggota keluarga dekat, serta banyak tuduhan bahwa dia adalah semacam kunci pas di kru LAPSUS$.
LAPUS$ kembali menjadi sorotan
Seperti yang dapat Anda bayangkan, baru-baru ini Kisah peretasan Uber menghidupkan kembali nama LAPSUS$, mengingat penyerang dalam kasus itu secara luas diklaim berusia 18 tahun, dan tampaknya hanya tertarik untuk pamer:
Seperti yang dijelaskan Chester Wisniewski baru-baru ini podcast mini:
[Saya] dalam hal ini, […] sepertinya “untuk lulz”. […Orang yang melakukannya sebagian besar mengumpulkan piala saat mereka memantul melalui jaringan – dalam bentuk tangkapan layar dari semua alat dan utilitas dan program yang berbeda yang digunakan di sekitar Uber – dan mempostingnya secara publik, saya kira untuk kredibilitas jalanan.
Tak lama setelah peretasan Uber, hampir satu jam dari apa yang tampak seperti klip video dari game GTA6 yang akan datang, tampaknya tangkapan layar yang dibuat untuk tujuan debugging dan pengujian, bocor setelah intrusi di game Rockstar.
Sekali lagi, peretas muda yang sama, dengan dugaan koneksi yang sama ke LAPSUS$, terlibat dalam serangan itu.
Kali ini, laporan menyarankan bahwa peretas memiliki lebih dari sekadar hak membual, yang diduga mengatakan bahwa mereka "Mencari untuk menegosiasikan kesepakatan."
Jadi, ketika Polisi Kota London tweeted awal minggu ini yang mereka miliki “menangkap seorang anak berusia 17 tahun di Oxfordshire karena dicurigai melakukan peretasan”...
Pada Kamis malam, 22 September 2022, Polisi Kota London menangkap seorang remaja berusia 17 tahun di Oxfordshire atas dugaan peretasan, sebagai bagian dari penyelidikan yang didukung oleh @NCA_UKUnit Kejahatan Siber Nasional (NCCU).
Dia tetap dalam tahanan polisi. pic.twitter.com/Zfa3OlDR6J
— Polisi Kota London (@CityPolice) September 23, 2022
…Anda bisa membayangkan kesimpulan apa yang dicapai Twittersphere dengan cepat.
Itu pasti orang yang sama!
Lagi pula, apa kemungkinan kita membicarakan dua tersangka yang berbeda dan tidak berhubungan di sini?
Kami hanya tidak tahu persis di mana moniker LAPSUS itu masuk, jika memang terlibat sama sekali.
O, betapa kusutnya jaring yang kami jalin/Saat pertama kali kami berlatih menipu.
PELAJARI CARA MENGHINDARI SERANGAN GAYA LAPSUS$
Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.