LAPSUS$ unter der Lupe

Claire Tills, Senior Research Engineer bei Tenable, hat einen tiefen Einblick in die Operationen der LAPSUS$-Gruppe gewonnen. Sie hat dabei herausgefunden, dass die Taktik der Gruppe zwar dreist, unlogisch und wenig durchdacht ist, aber dennoch erfolgreich war, um bei großen internationalen Technologieunternehmen Störungen zu verursachen.

Die offizielle Karriere von LAPSUS$ begann im Dezember 2021 mit Angriffen auf Unternehmen in Südamerika und setzte sich im Januar mit Zielen in Südamerika und Portugal fort, was wahrscheinlich mit dem Standort einiger Gruppenmitglieder zusammenhängt. In den folgenden Monaten weitete LAPSUS$ seine Ziele auf multinationale Technologieunternehmen aus. Dadurch wurde die gesamte Cybersicherheitsgemeinschaft auf die Gruppe aufmerksam.

Die LAPSUS$-Gruppe operiert ausschließlich über eine private Telegram-Gruppe und verwaltet keine Dark-Web-Leak-Site wie andere Bedrohungsgruppen, was die für die Analyse verfügbaren Daten einschränkt. Die LAPSUS$-Gruppe sorgte Anfang 2022 für beträchtlichen Wirbel, ist aber in den größeren Wellen, die von etablierteren Gruppen wie Conti verursacht werden, untergegangen. Die kurze Zeit, in der LAPSUS$ an der Spitze der Cybersecurity-Nachrichtenzyklen stand, war von Eigenheiten und offensichtlichen Fehlern geprägt.

Obwohl es schwierig ist, einzelne Mitglieder einer Cybercrime-Gruppe zu identifizieren, haben Forscher und Strafverfolgungsbehörden die Operationen von LAPSUS$ auf einige Jugendliche in Brasilien und Großbritannien zurückgeführt. Diese Identifizierungen, die anschließenden Verhaftungen und das scheinbare Schweigen der Gruppe scheinen mit Analysen übereinzustimmen, die besagen, dass die Gruppe aus „talentierten, aber unerfahrenen“ Akteuren besteht.

Im Gegensatz zu Ransomware-Betreibern repräsentiert LAPSUS$ eine wachsende Gruppe von Cyberkriminellen, die sich ausschließlich auf Datendiebstahl und Erpressung konzentrieren. Sie verschaffen sich durch bewährte Methoden wie Phishing Zugang zu den Opfern und stehlen die sensibelsten Daten, die sie finden können, ohne datenverschlüsselnde Malware einzusetzen. Die Gruppe rückte ins Rampenlicht, als sie Ende Februar einen Angriff auf Nvidia startete. Mit diesem Angriff betrat LAPSUS$ zum ersten Mal die Weltbühne und begann einen kurzen Raubzug durch große Technologieunternehmen.

„Genau wie Ransomware werden auch Erpressungsangriffe kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden“, erklärte Claire Tills, Senior Research Engineer bei Tenable. „Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Reaktionspläne diese Vorfälle effektiv berücksichtigen. Auch wenn es leichtfällt, Bedrohungsgruppen wie LAPSUS$ herunterzuspielen, erinnert uns ihre Störung großer internationaler Technologieunternehmen daran, dass selbst einfache Taktiken ernsthafte Auswirkungen haben können.“