Cái tên gây tò mò LAPSUS$ thực hiện tiêu đề lớn vào tháng 2022 năm XNUMX như biệt danh của một băng đảng hack, hay nói cách khác, là nhãn hiệu cho một tập thể tội phạm mạng khét tiếng và hoạt động:
Cái tên hơi khác thường đối với một nhóm tội phạm mạng, những người thường áp dụng các món súp nghe có vẻ sắc sảo và phá hoại, chẳng hạn như CHẾT, Sa-tan, Darksidevà Trả lời.
Tuy nhiên, như chúng tôi đã đề cập hồi tháng XNUMX, trôi đi là một từ tiếng Latinh hiện đại tốt như bất kỳ từ nào có nghĩa là "vi phạm dữ liệu" và ký hiệu đô la ở sau biểu thị cả giá trị tài chính và chương trình, là cách truyền thống để biểu thị rằng biến BASIC là một chuỗi văn bản, không phải một số.
Băng đảng, đội, phi hành đoàn, sở hữu, tập thể, gaggle, gọi nó là những gì bạn muốn, của những kẻ tấn công rõ ràng đã trình bày một loại mơ hồ tương tự trong tội phạm mạng của họ.
Đôi khi, họ dường như cho thấy rằng họ nghiêm túc về việc tống tiền hoặc lấy tiền điện tử từ nạn nhân của mình, nhưng những lúc khác, họ dường như chỉ đơn giản là để thể hiện.
Microsoft thừa nhận vào thời điểm đó rằng họ đã thâm nhập bởi LAPSUS $, mặc dù gã khổng lồ phần mềm gọi nhóm này là DEV-5037, với những tên tội phạm dường như đã đánh cắp hàng gigabyte mã nguồn.
Okta, một nhà cung cấp dịch vụ 2FA, là một nạn nhân nổi tiếng khác, nơi các tin tặc có được quyền truy cập RDP vào máy tính của kỹ thuật viên hỗ trợ và do đó có thể truy cập vào một loạt các hệ thống nội bộ của Okta như thể họ đăng nhập trực tiếp vào mạng riêng của Okta .
Công cụ hỗ trợ đó không hoạt động đối với Okta, mà đối với một công ty do Okta ký hợp đồng, vì vậy những kẻ tấn công về cơ bản có thể xâm phạm mạng của Okta mà không xâm phạm chính Okta.
Điều thú vị là mặc dù vụ vi phạm của Okta xảy ra vào tháng 2022 năm XNUMX, cả Okta và nhà thầu của nó đều không công khai thừa nhận vi phạm trong khoảng hai tháng, trong khi khám nghiệm pháp y đã diễn ra…
… Cho đến khi LAPSUS $ rõ ràng đã quyết định thông báo trước bất kỳ thông báo chính thức nào bằng kết xuất ảnh chụp màn hình để “chứng minh” sự vi phạm, trớ trêu thay vào đúng ngày Okta nhận được báo cáo pháp y cuối cùng từ nhà thầu (làm thế nào, hoặc nếu, LAPSUS $ nhận được cảnh báo trước về việc gửi báo cáo thì không rõ):
Tiếp theo trong cuộc tấn công là nhà cung cấp chip đồ họa Nvidia, người dường như cũng bị đánh cắp dữ liệu, tiếp theo là một trong những nhu cầu tống tiền ransomware-có-khác-biệt-lạ-nhất được ghi lại - mã nguồn mở trình điều khiển đồ họa của bạn, hoặc mã khác:
Như chúng tôi đã nói trong podcast Naked Security (S3 Tập73):
Thông thường, mối liên hệ giữa tiền điện tử và ransomware là hình kẻ gian, “Hãy đi mua một số tiền điện tử và gửi cho chúng tôi, chúng tôi sẽ giải mã tất cả các tệp của bạn và / hoặc xóa dữ liệu của bạn”. […]
Nhưng trong trường hợp này, mối liên hệ với tiền điện tử được họ nói, “Chúng tôi sẽ quên tất cả về lượng dữ liệu khổng lồ mà chúng tôi đã đánh cắp nếu bạn mở cạc đồ họa của mình để chúng có thể khai thác hết công suất.”
Bởi vì điều đó quay trở lại với một thay đổi mà Nvidia đã thực hiện vào năm ngoái [2021], rất phổ biến với các game thủ [bằng cách không khuyến khích các nhà khai thác mật mã mua hết tất cả các GPU Nvidia trên thị trường cho mục đích phi đồ họa].
Một loại tội phạm mạng khác?
Đối với tất cả các hoạt động trực tuyến được quy cho LAPSUS $ đều là tội phạm nghiêm trọng và không đáng xấu hổ, hành vi sau khai thác của nhóm thường có vẻ khá cũ.
Không giống như những kẻ tấn công ransomware trị giá hàng triệu đô la ngày nay, với động cơ chính là tiền, tiền và nhiều tiền hơn, LAPSUS $ rõ ràng đã liên kết chặt chẽ hơn với bối cảnh viết virus vào cuối những năm 1980 và 1990, nơi các cuộc tấn công thường được tiến hành chỉ đơn giản là để khoe khoang và “cho cái lulz ”.
(Cụm từ Cho lulz dịch đại khái là để kích động tiếng cười phản cảm một cách xúc phạm, dựa trên từ viết tắt LOL, viết tắt của "cười to".)
Vì vậy, khi Cảnh sát Thành phố Luân Đôn thông báo, chỉ hai ngày sau khi ảnh chụp màn hình không mấy đẹp đẽ về cuộc tấn công ở Okta xuất hiện, rằng nó đã bị bắt những gì nghe giống như một nhóm thanh niên lầm lì ở Anh vì bị cáo buộc là thành viên của một nhóm hack…
… Phương tiện truyền thông CNTT trên thế giới đã nhanh chóng kết nối với LAPSUS $:
Theo như chúng tôi được biết, cơ quan thực thi pháp luật Vương quốc Anh chưa bao giờ sử dụng từ LAPSUS $ liên quan đến các nghi phạm trong vụ bắt giữ đó, lưu ý rằng vào tháng 2022 năm XNUMX chỉ đơn giản là "Yêu cầu của chúng tôi vẫn đang tiếp tục."
Tuy nhiên, một liên kết rõ ràng với LAPSUS $ được suy ra từ thực tế là một trong những thanh niên bị bắt được cho là 17 tuổi và đến từ Oxfordshire ở Anh.
Thật hấp dẫn, một tin tặc ở độ tuổi đó, người được cho là sống ở một thị trấn ngay bên ngoài Oxford, thành phố mà từ đó quận xung quanh được đặt tên, đã bị một đối thủ tội phạm mạng bất bình tấn công không lâu trước đó, trong cái được gọi là doxxing.
Doxxing là nơi tội phạm mạng cố ý tung ra các tài liệu và chi tiết cá nhân bị đánh cắp, thường là để khiến một cá nhân có nguy cơ bị cơ quan thực thi pháp luật bắt giữ hoặc có nguy cơ bị trả thù bởi những đối thủ thiếu thông tin hoặc ác ý.
Kẻ doxxer đã tiết lộ những gì anh ta khẳng định là địa chỉ nhà của đối thủ, cùng với các chi tiết cá nhân và ảnh của anh ta và các thành viên gia đình thân thiết, cũng như một loạt các cáo buộc rằng anh ta là một loại chốt trong nhóm LAPSUS $.
LAPUS $ trở lại nổi bật
Như bạn có thể tưởng tượng, gần đây Câu chuyện về vụ hack Uber đã hồi sinh tên LAPSUS $, vì kẻ tấn công trong trường hợp đó được tuyên bố rộng rãi là 18 tuổi và dường như chỉ quan tâm đến việc khoe khoang:
Như Chester Wisniewski đã giải thích trong một podcast nhỏ:
[Tôi] n trường hợp này, […] nó có vẻ là “dành cho lulz”. [… T] anh ta là người chủ yếu thu thập các danh hiệu khi chúng được tung lên mạng - dưới dạng ảnh chụp màn hình của tất cả [các] công cụ và tiện ích và chương trình khác nhau đang được sử dụng xung quanh Uber - và đăng chúng công khai, tôi đoán vậy cho tín dụng đường phố.
Ngay sau vụ hack Uber, gần một giờ đồng hồ có vẻ là video clip từ trò chơi sắp ra mắt GTA6, rõ ràng là ảnh chụp màn hình được thực hiện cho mục đích gỡ lỗi và thử nghiệm, đã bị rò rỉ sau một vụ xâm nhập vào trò chơi Rockstar.
Một lần nữa, cùng một hacker trẻ tuổi, có cùng kết nối được cho là với LAPSUS $, lại dính líu đến vụ tấn công.
Lần này, báo cáo đề nghị rằng tin tặc có ý nghĩ nhiều hơn chỉ là quyền khoe khoang, được cho là nói rằng họ "Đang tìm cách thương lượng một thỏa thuận."
Vì vậy, khi Cảnh sát Thành phố Luân Đôn tweeted đầu tuần này họ đã "Bắt một thanh niên 17 tuổi ở Oxfordshire vì nghi ngờ hack"...
Vào tối thứ Năm ngày 22 tháng 2022 năm 17, Cảnh sát Thành phố Luân Đôn đã bắt giữ một thanh niên XNUMX tuổi ở Oxfordshire vì nghi ngờ hack, như một phần của cuộc điều tra được hỗ trợ bởi @NCA_UKĐơn vị Tội phạm Mạng Quốc gia (NCCU).
Anh ta vẫn bị cảnh sát giam giữ. pic.twitter.com/Zfa3OlDR6J
- Cảnh sát Thành phố Luân Đôn (@CityPolice) Ngày 23 tháng 2022 năm XNUMX
… Bạn có thể tưởng tượng Twittersphere nhanh chóng đạt được kết luận nào.
Đó phải là cùng một người!
Rốt cuộc, cơ hội mà chúng ta đang nói về hai nghi phạm khác nhau và không có mối liên hệ ở đây là gì?
Điều duy nhất chúng tôi không biết là biệt danh LAPSUS $ xuất hiện ở đâu, nếu thực sự nó có liên quan.
Hỡi, thật là một mạng lưới rối ren mà chúng ta dệt nên / Khi mới tập tành lừa dối.
TÌM HIỂU CÁCH TRÁNH MẶT BẰNG LAPSUS $ -STYLE
Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.