Curiosul nume LAPSUS$ făcut titluri imense în martie 2022, ca porecla unei bande de hackeri sau, în cuvinte nevoiate, ca etichetă pentru un colectiv notoriu și activ de criminali cibernetici:
Numele era oarecum neobișnuit pentru un echipaj de criminalitate cibernetică, care adoptă în mod obișnuit subrichete care sună nervos și distructiv, cum ar fi Șurub, Satana, Darkside, și Revil.
Totuși, așa cum am menționat în martie, alunecare este un cuvânt latin modern la fel de bun ca oricare pentru „încălcarea datelor”, iar semnul dolar în urmă semnifică atât valoarea financiară, cât și programarea, fiind modul tradițional de a desemna că variabila BASIC este un șir de text, nu un număr.
Banda, echipa, echipajul, grupa, colectivul, grupul, numiți așa cum vreți, de atacatori se pare că prezentau un fel similar de ambiguitate în criminalitatea lor cibernetică.
Uneori, păreau să arate că vorbesc serioși în ceea ce privește smulgerea de bani sau furtul de criptomonede de la victimele lor, dar alteori păreau pur și simplu să se arate.
Microsoft a recunoscut la momentul respectiv că a fost infiltrată de LAPSUS$, deși gigantul software s-a referit la grup ca DEV-5037, criminalii aparent furând gigaocteți de cod sursă.
Okta, un furnizor de servicii 2FA, a fost o altă victimă de mare profil, unde hackerii au obținut acces RDP la computerul unui tehnician de asistență și, prin urmare, au putut accesa o gamă largă de sisteme interne ale Okta, ca și cum ar fi conectați direct la propria rețea Okta. .
Acel tehnic de asistență nu a funcționat pentru Okta, ci pentru o companie contractată de Okta, astfel încât atacatorii au putut, în esență, să spargă rețeaua lui Okta fără a încălca Okta în sine.
În mod intrigant, chiar dacă încălcarea lui Okta a avut loc în ianuarie 2022, nici Okta, nici contractorul său nu au făcut vreo admitere publică a încălcării timp de aproximativ două luni, în timp ce un examen criminalistic a avut loc…
…până când se pare că LAPSUS$ a decis să anticipeze orice anunț oficial de către dumping capturi de ecran pentru a „demonstra” încălcarea, în mod ironic, chiar în aceeași zi în care Okta a primit raportul criminalistic final de la antreprenor (nu se știe cum sau dacă LAPSUS$ a primit avertismentul prealabil cu privire la livrarea raportului):
Următorul pe dosarul de atac a fost vânzătorul de cipuri grafice Nvidia, care se pare că a suferit și un furt de date, urmat de unul dintre cele mai ciudate cereri de extorcare de ransomware-cu-o-diferență în evidență – deschideți codul driverului grafic, sau altfel:
După cum am spus în podcastul Naked Security (S3 Ep73):
În mod normal, conexiunea dintre criptomoneda și ransomware este cifra escrocilor, „Du-te și cumpără niște criptomonede și trimite-o nouă, iar noi îți vom decripta toate fișierele și/sau îți vom șterge datele.” […]
Dar, în acest caz, legătura cu criptomoneda a fost ei au spus: „Vom uita totul de cantitatea masivă de date pe care am furat-o dacă deschideți plăcile grafice, astfel încât acestea să poată criptominea la putere maximă”.
Pentru că asta se întoarce la o schimbare pe care Nvidia a făcut-o anul trecut [2021], care a fost foarte populară printre jucători [prin descurajarea criptominerilor să cumpere toate GPU-urile Nvidia de pe piață în scopuri non-grafice].
Un alt fel de criminal cibernetic?
Cu toate că activitățile online atribuite LAPSUS$ au fost grave și fără rușine criminale, comportamentul de post-exploatare al grupului părea adesea destul de vechi.
Spre deosebire de atacatorii de ransomware de mai multe milioane de dolari de astăzi, ale căror motivații principale sunt banii, banii și mai mulți bani, LAPSUS$ se pare că s-a aliniat mai strâns cu scena de scriere a virusurilor de la sfârșitul anilor 1980 și 1990, unde atacurile au fost de obicei efectuate pur și simplu pentru drepturi de lăudare și „pentru lulzul”.
(Fraza pentru lulz se traduce aproximativ ca pentru a provoca râs jignitor de veselă, pe baza acronimului LOL, prescurtare pentru „râzi în hohote”.)
Așadar, când poliția orașului londonez a anunțat, la doar două zile după ce au apărut capturile de ecran deloc veselă ale atacului de la Okta, că arestat ceea ce suna ca o grămadă pestriță de tineri în Marea Britanie pentru că ar fi fost membri ai unui grup de hacking...
… mass-media IT din lume a făcut rapid o conexiune cu LAPSUS$:
Din câte știm, forțele de ordine din Marea Britanie nu au folosit niciodată cuvântul LAPSUS$ în legătură cu suspecții din acea arestare, menționând în martie 2022 pur și simplu că „Solicitările noastre rămân în curs.”
Cu toate acestea, o aparentă legătură cu LAPSUS$ a fost dedusă din faptul că unul dintre tinerii arestați se spunea că avea 17 ani și că provine din Oxfordshire, Anglia.
Fascinant, un hacker de acea vârstă, care ar fi trăit într-un oraș din afara Oxford, orașul din care își trage numele județul din jur, a fost dezvăluit de un rival nemulțumit al criminalității cibernetice nu cu mult timp înainte, în ceea ce este cunoscut ca un doxxing.
Doxxing este cazul în care un criminal cibernetic eliberează documente și detalii personale furate în mod intenționat, adesea pentru a expune o persoană în pericol de arestare de către forțele de ordine sau în pericolul răzbunării de către oponenții prost informați sau răuvoitori.
Doxxerul a divulgat ceea ce a pretins că este adresa de acasă a rivalului său, împreună cu detalii personale și fotografii cu el și cu membri apropiați ai familiei, precum și o grămadă de acuzații că ar fi un fel de cheie în echipajul LAPSUS$.
LAPUS$ din nou în lumina reflectoarelor
După cum vă puteți imagina, recent Povești de hacking Uber a reînviat numele LAPSUS$, având în vedere că atacatorul din acel caz a fost susținut pe scară largă că are 18 ani și, aparent, era interesat doar să se arate:
După cum a explicat Chester Wisniewski într-un recent minisodul podcast:
[În acest caz, […] pare să fie „pentru lulz”. […] Persoana care a făcut-o a colectat în mare parte trofee în timp ce treceau prin rețea – sub formă de capturi de ecran cu toate [diferitele] instrumente, utilități și programe care erau folosite în jurul Uber – și le-a postat public, cred pentru strada cred.
La scurt timp după hack-ul Uber, aproape o oră din ceea ce părea a fi clipuri video din viitorul joc GTA6, aparent capturi de ecran făcute în scopuri de depanare și testare, au fost scurse în urma unei intruziuni la jocurile Rockstar.
Încă o dată, același tânăr hacker, cu aceeași presupusă legătură cu LAPSUS$, a fost implicat în atac.
De data aceasta, rapoarte sugera că hackerul a avut în minte mai mult decât drepturile de lăudare, spunând că așa sunt „Caut să negociez o înțelegere.”
Deci, când poliția orașului Londra tweeter la începutul acestei săptămâni pe care le-au avut „A arestat un tânăr de 17 ani în Oxfordshire, fiind suspectat de hacking”...
În seara zilei de joi, 22 septembrie 2022, poliția orașului Londra a arestat un tânăr de 17 ani în Oxfordshire, fiind suspectat de piraterie informatică, în cadrul unei investigații susținute de @NCA_UKUnitatea Națională de Crimă Cibernetică (NCCU).
El rămâne în custodia poliției. pic.twitter.com/Zfa3OlDR6J
— City of London Police (@CityPolice) 23 Septembrie, 2022
… vă puteți imagina la ce concluzii a ajuns rapid Twittersfera.
Trebuie să fie aceeași persoană!
La urma urmei, care este șansa ca aici să vorbim despre doi suspecți diferiți și nelegați?
Singurul lucru pe care nu îl știm este unde apare numele LAPSUS$, dacă într-adevăr este implicat.
O, ce pânză încâlcită țesem/Când mai întâi exersăm să înșelăm.
ÎNVĂȚĂ CUM SĂ EVITAȚI ATACELE ÎN STIL LAPSUS$
Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.