Was ist aus den Lapsus$-Hackern geworden?

Als dreist, unlogisch und wenig durchdacht beschreibt Claire Tills, Senior Research Engineer bei Tenable, die Methoden der Hackergruppe Lapsus$. Die Kriminellen griffen unter anderem renommierte Unternehmen wie Microsoft, Samsung, Nvidia, Vodafone, Ubisoft und Okta an. Sie stahlen Daten und erpressten ihre Opfer teilweise mit Ransomware.

So wurde Lapsus$ berühmt

Im Gegensatz zu anderen kriminellen Cyberbanden organisiere sich Lapsus$ ausschließlich über eine private Telegram-Gruppe und betreibe keine Leak-Site im Dark Web. Wie Tills weiter schreibt, kündigte die Gruppe bislang über Telegram ihre nächsten Opfer an. Zudem habe sie die Community um Vorschläge gebeten, welche Unternehmensdaten als nächstes veröffentlicht werden sollen.

Durch ihre unkonventionellen Taktiken und unberechenbaren Methoden erlangte Lapsus$ eine Menge Aufmerksamkeit. Sie beteiligten sich Anfang des Jahres beispielsweise an dem mehrstufigen Einbruch in die Computersysteme des Customer-Service-Anbieters Sitel. Dies führte wiederum zu einem Sicherheitsvorfall bei dem IAM-Anbieter Okta. Laut Tills stützte sich die Gruppe damals stark auf klassische Taktiken wie

• Erstzugang über gekaufte oder öffentlich zugängliche Anmeldedatenbanken,

• Passwortdiebstahl,

• Bezahlung von Mitarbeitern für deren Zugangsdaten,

• Umgehung der Multifaktor-Authentifizierung durch Spamming-Eingaben oder Kontaktaufnahme mit dem Helpdesk,

• Zugriff auf Anwendungen wie VPNs, Microsoft SharePoint oder virtuelle Desktops, um weitere Anmeldedaten zu sammeln und auf sensible Informationen zuzugreifen,

• Ausweitung der Berechtigungen durch Ausnutzung ungepatchter Sicherheitslücken in Jira, GitLab und Confluence,

• Herausschleusen von Daten über NordVPN oder kostenlose File-Drop-Dienste und anschließendes Löschen von Ressourcen,

• Nutzung des Zugriffs auf die Cloud-Umgebungen des Opfers, um eine Angriffsinfrastruktur aufzubauen und alle anderen globalen Administratoren zu entfernen.

Lesetipp: Was CSOs aus dem Okta-Hack lernen können

Bleibt Lapsus$ inaktiv?

Obwohl es sehr schwierig ist, einzelne Mitglieder der Hackergruppe zu identifizieren, ist es Strafverfolgungsbehörden gelungen, die Operationen von Lapsus$ auf einige Teenager in Brasilien und Großbritannien zurückzuführen. Aus den folgenden Verhaftungen und dem anschließenden "offensichtlichen Schweigen der Gruppe" schließt Tills, dass die Hacker zwar talentiert, aber unerfahren seien.

Seit einigen Monaten ist es um Lapsus$ ruhig geworden. Darüber ob dies daran liegt, dass einige Mitglieder enttarnt und verhaftet wurden, oder ob die Teenager schlichtweg das Interesse verloren haben, spekuliert Tills nicht. Stattdessen schließt sie ihren Bericht mit einem Appell: "Ransomware-Erpressungsangriffe werden kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden. Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Krisenreaktionspläne diese Vorfälle effektiv berücksichtigen. Deshalb sollte die Gefahr , die von Hackergruppen wie Lapsus$ ausgeht, nicht heruntergespielt werden. Zumal die Gruppe mit simplen Taktiken große internationale Tec-Konzerne erfolgreich mit teils schwerwiegenden Konsequenzen angriff."

Lesetipp: Ist REvil zurück?