Grupa hakerów Lapsus$ ma chaotyczny początek

0
94

Gangi ransomware mają stać się dobrze naoliwionymi maszynami do robienia pieniędzy w ich dążeniu do przestępczego zysku. Ale od grudnia pozornie nowa grupa o nazwie Lapsus$ dodała chaotycznej energii do pola, gawędząc z silną obecnością w mediach społecznościowych na Telegramie, szeregiem głośnych ofiar – w tym Samsung, Nvidia i Ubisoft – katastrofalnymi przeciekami i dramatyczne oskarżenia, które składają się na lekkomyślną eskalację w już nielegalnej branży.

To, co sprawia, że ​​Lapsus$ jest godne uwagi, to fakt, że grupa nie jest w rzeczywistości gangiem zajmującym się oprogramowaniem ransomware. Zamiast eksfiltrować dane, szyfrować systemy docelowe, a następnie grozić wyciekiem skradzionych informacji, chyba że ofiara zapłaci, Lapsus$ wydaje się skupiać wyłącznie na kradzieży danych i wyłudzeniu. Grupa uzyskuje dostęp do ofiar poprzez ataki phishingowe, a następnie kradnie najbardziej wrażliwe dane, jakie może znaleźć, bez wdrażania złośliwego oprogramowania szyfrującego dane.

„Wszystko to było dość chaotyczne i niezwykłe” — mówi Brett Callow, analityk zagrożeń w firmie antywirusowej Emsisoft. „Mam wrażenie, że są utalentowaną, ale niedoświadczoną operacją. To, czy będą dążyć do rozwoju i pozyskiwania oddziałów, czy też będą małe i szczupłe, dopiero się okaże”.

Lapsus$ pojawił się zaledwie kilka miesięcy temu i początkowo skupiał się prawie wyłącznie na celach w języku portugalskim. W grudniu i styczniu grupa włamała się i próbowała wyłudzić między innymi brazylijskie ministerstwo zdrowia, portugalski gigant medialny Impresa, południowoamerykańskie telekomy Claro i Embratel oraz brazylijską wypożyczalnię samochodów Localiza. W niektórych przypadkach firma Lapsus$ przeprowadzała również ataki typu „odmowa usługi” na ofiary, przez co ich witryny i usługi były niedostępne przez pewien czas.

Nawet w tych wczesnych kampaniach Lapsus$ był kreatywny; ustawiła witrynę Localiza tak, aby przekierowywała do witryny z mediami dla dorosłych na kilka godzin, dopóki firma nie będzie mogła tego przywrócić.

W miarę jak napastnicy przyspieszyli i nabrali pewności siebie, rozszerzyli swój zasięg. W ostatnich tygodniach grupa uderzyła w argentyńskie platformy e-commerce MercadoLibre i MercadoPago, twierdzi, że włamała się do brytyjskiego telekomu Vodafone i zaczęła wyciekać wrażliwy i cenny kod źródłowy Samsunga i Nvidii.

„Pamiętaj: jedynym celem są pieniądze, nasze powody nie są polityczne”, napisał Lapsus$ na swoim kanale Telegram na początku grudnia. A kiedy grupa ogłosiła naruszenie Nvidii w Telegramie pod koniec lutego, dodała: „Uwaga: nie jesteśmy sponsorowani przez państwo i W OGÓLE nie zajmujemy się polityką”.

Badacze twierdzą jednak, że prawda o intencjach gangu jest bardziej niejasna. W przeciwieństwie do wielu najbardziej płodnych grup zajmujących się oprogramowaniem ransomware, Lapsus$ wydaje się być bardziej luźnym kolektywem niż zdyscyplinowaną, korporacyjną operacją. „W tej chwili trudno jest z całą pewnością powiedzieć, jakie są motywacje grupy”, mówi Xue Yin Peh, starszy analityk ds. cyberzagrożeń w firmie zajmującej się bezpieczeństwem Digital Shadows. „Nic jeszcze nie wskazuje na to, że grupa używa oprogramowania ransomware do wyłudzania ofiar, więc nie możemy potwierdzić, że są one zmotywowane finansowo”.

Lapsus$ włamał się do Nvidii w połowie lutego, kradnąc 1 terabajt danych, w tym znaczną ilość poufnych informacji o projektach kart graficznych Nvidii, kod źródłowy systemu renderowania Nvidia AI o nazwie DLSS oraz ponad 71 000 nazw użytkowników i haseł Pracownicy Nvidii. Grupa zagroziła, że ​​udostępni coraz więcej danych, jeśli Nvidia nie spełni serii nietypowych żądań. Początkowo gang powiedział producentowi chipów, aby usunął z procesorów graficznych funkcję zapobiegającą kopaniu kryptowalut o nazwie Lite Hash Rate. Następnie Lapsus$ zażądał, aby firma wydała pewne sterowniki dla swoich chipów.

„Koncentracja na wydobywaniu kryptowalut sugeruje, że grupa może ostatecznie być napędzana finansami, jednak z pewnością przyjmują inne podejście niż inne grupy w zabieganiu o nagrody finansowe” – mówi Peh z Digital Shadows.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj