Claire Tills, Senior Research Engineer bei Tenable, hat einen tiefen Einblick in die Operationen der LAPSUS$-Gruppe gewonnen. Sie hat dabei herausgefunden, dass die Taktik der Gruppe zwar dreist, unlogisch und wenig durchdacht ist, aber dennoch erfolgreich war, um bei großen internationalen Technologieunternehmen Störungen zu verursachen.
Die offizielle Karriere von LAPSUS$ begann im Dezember 2021 mit Angriffen auf Unternehmen in Südamerika und setzte sich im Januar mit Zielen in Südamerika und Portugal fort, was wahrscheinlich mit dem Standort einiger Gruppenmitglieder zusammenhängt. In den folgenden Monaten weitete LAPSUS$ seine Ziele auf multinationale Technologieunternehmen aus. Dadurch wurde die gesamte Cybersicherheitsgemeinschaft auf die Gruppe aufmerksam.
Die LAPSUS$-Gruppe operiert ausschließlich über eine private Telegram-Gruppe und verwaltet keine Dark-Web-Leak-Site wie andere Bedrohungsgruppen, was die für die Analyse verfügbaren Daten einschränkt. Die LAPSUS$-Gruppe sorgte Anfang 2022 für beträchtlichen Wirbel, ist aber in den größeren Wellen, die von etablierteren Gruppen wie Conti verursacht werden, untergegangen. Die kurze Zeit, in der LAPSUS$ an der Spitze der Cybersecurity-Nachrichtenzyklen stand, war von Eigenheiten und offensichtlichen Fehlern geprägt.
Obwohl es schwierig ist, einzelne Mitglieder einer Cybercrime-Gruppe zu identifizieren, haben Forscher und Strafverfolgungsbehörden die Operationen von LAPSUS$ auf einige Jugendliche in Brasilien und Großbritannien zurückgeführt. Diese Identifizierungen, die anschließenden Verhaftungen und das scheinbare Schweigen der Gruppe scheinen mit Analysen übereinzustimmen, die besagen, dass die Gruppe aus „talentierten, aber unerfahrenen“ Akteuren besteht.
Im Gegensatz zu Ransomware-Betreibern repräsentiert LAPSUS$ eine wachsende Gruppe von Cyberkriminellen, die sich ausschließlich auf Datendiebstahl und Erpressung konzentrieren. Sie verschaffen sich durch bewährte Methoden wie Phishing Zugang zu den Opfern und stehlen die sensibelsten Daten, die sie finden können, ohne datenverschlüsselnde Malware einzusetzen. Die Gruppe rückte ins Rampenlicht, als sie Ende Februar einen Angriff auf Nvidia startete. Mit diesem Angriff betrat LAPSUS$ zum ersten Mal die Weltbühne und begann einen kurzen Raubzug durch große Technologieunternehmen.
„Genau wie Ransomware werden auch Erpressungsangriffe kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden“, erklärte Claire Tills, Senior Research Engineer bei Tenable. „Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Reaktionspläne diese Vorfälle effektiv berücksichtigen. Auch wenn es leichtfällt, Bedrohungsgruppen wie LAPSUS$ herunterzuspielen, erinnert uns ihre Störung großer internationaler Technologieunternehmen daran, dass selbst einfache Taktiken ernsthafte Auswirkungen haben können.“
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.