Lapsus$ gasp grubu, 2022’nin ilk aylarında dikkatimizi çektikten sonra büyük ölçüde sessizleşti, ancak gasp saldırıları kalıcı olmaya devam ediyor.
Lapsus$ gasp grubu, Okta, Globant, Nvidia ve hatta Samsung’a yönelik saldırılarla övündükten sonra hatırı sayılır bir sıçrama yaptı.
Tenable araştırmacısı Claire Tills, “Samsung, Microsoft ve Okta’daki ihlaller, bu çaptaki şirketlerdeki bir olaydan hepimizin korktuğu teknik etkiye sahip olmasa da, aksama hala önemliydi” dedi.
Çete sadece bir grup senaryo çocuğu olsa bile, kendileri gibi fırsatçı veri hırsızları işletmelerde yeterince aksamalara neden olur. Tills’e göre, Lapsus$’ın 15 dakikalık şöhreti, tuhaflıklar ve bariz hatalarla damgalandı.
Son blog yazısında Tills, Lapsus$’ın bir fidye yazılımı grubu değil, gasp olduğunu vurguladı. Fidye yazılımı, veri şifreleyen kötü amaçlı yazılımların (fidye yazılımı) dağıtıldığı ve bu sistemlere erişimin hedef kuruluşlara fidye olarak verildiği olaylara atıfta bulunur.
“Lapsus$ gibi şantaj grupları fırsatçı veri hırsızlığına ve çalınan verileri kamuya açıklama tehditlerine odaklanıyor. Bazen bu gruplar orijinal verileri de silecektir” dedi.
Conti gibi gruplar iyi organize olsa da, Tills, Lapsus$ davranışının daha olgunlaşmamış ve dürtüsel olduğunu, bodrum klişesindeki bir gence yakın olduğunu söyledi. Bazı grup üyelerinin Brezilya ve Birleşik Krallık’tan gençler olduğu ortaya çıktı.
Lapsus$ grubu, bir veri sızıntısı web sitesi işletmediği için diğer tehdit aktörlerinden önemli bir şekilde farklıdır.
“Grup, kurbanları duyurmak için yalnızca Telegram kanalını kullanıyor ve genellikle daha sonra hangi kuruluşun verilerinin yayınlanacağı konusunda daha geniş topluluktan girdi talep ediyor. Tills, fidye yazılımı gruplarının (AvosLocker, LockBit 2.0, Conti gibi) cilalı, standartlaştırılmış siteleriyle karşılaştırıldığında, bu uygulamaların düzensiz ve olgunlaşmamış olarak ortaya çıktığını söyledi.
Yeni oyuncular
Lapsus$ tamamen gitmiş olabilir (ya da sadece bir süreliğine gözden kaybolabilir), ancak gasp saldırıları hiçbir yere gitmiyor.
“Fidye Evi grup ön plana çıkmıştır. Lapsus$ gibi, bazıları tarafından fidye yazılımı grubu olarak sınıflandırılmıştır, ancak hedef ağlardaki verileri şifrelemez. Taktiklerinin çoğu Lapsus$ grubunun taktiklerine benziyor; RansomHouse, Lapsus$’ın Telegram kanalında faaliyetlerinin reklamını bile yaptı,” dedi Tills.
Son zamanlarda ABD devlet kurumları Karakurt gasp grubu hakkında uyardı.
“Karakurt kurbanları, güvenliği ihlal edilmiş makinelerin veya dosyaların şifrelenmesini bildirmedi; bunun yerine, Karakurt aktörleri verileri çaldıklarını iddia ettiler ve talep edilen fidyeyi almazlarsa açık artırmaya çıkarmak veya kamuya açıklamakla tehdit ettiler” deniyor.
Bildirilen fidye talepleri Bitcoin’de 25.000 ila 13 milyon dolar arasında değişiyor ve ödeme ayrıntıları genellikle bir hafta içinde sona eriyor.
Kuruluşlar nasıl yanıt vermeli
Okta, kendi sistemlerini hedef alan olayın analizinde, sıfır güven önemli bir savunma mekanizması olarak Hassas uygulamalara ve verilere erişmek için gereken ek kimlik doğrulama adımları, Lapsus$ grubunun Okta ve müşterileri üzerinde feci etkisi olabilecek erişime ulaşmasını engelledi” dedi.
Gasp grupları, erişimlerini daha yüksek ayrıcalıklı kullanıcılara yönlendirmek için aktif dizin (AD) hedeflerinden ödün vermeye çalışır. Bu nedenle, uygun AD yapılandırması ve izleme, fidye yazılımını durdurmak için olduğu kadar gaspı durdurmak için de önemlidir.
Tills, “Ayrıca, bu gasp gruplarının bulut ortamlarını hedefleme olasılığı çok yüksek” diye ekledi.
Gasp çeteleri, kuruluşların düzeltmeden bıraktığı eski güvenlik açıklarına güveniyor.
Cybernews’den daha fazlası:
Uzman, Google’ın yeni uygulama güvenliği politikasının kümesteki tilkiye benzediğini söylüyor
Dubai, meta veri tabanında 40 binden fazla işi destekleyecek
Sanal gerçeklik şirketi tarafından ticari marka davasıyla meta çarptı
ABD, Kuzey Kore fidye çetelerinden 500 bin dolar ele geçirdi
Yeni CloudMensis casus yazılımı Apple macOS kullanıcılarını hedefliyor
Abone olmak bültenimize