Kinder an die Macht?

Advanced Persistent Teenagers“ = „Fortgeschrittene hartnäckige Teenager“

So nennt der Autor Brian Krebs LAPSUS$, eine jugendliche Datenerpressergruppe, deren kurzlebige, technisch einfache und bemerkenswert effektive Taktiken einige der größten Unternehmen der Welt in Bedrängnis gebracht haben.

Wenn diese Taktiken wie etwas klingen, das man eher von unheimlichen, staatlich geförderten „Advanced Persistent Threat“- oder APT-Gruppen erwarten würde, sollte man bedenken, dass die Kernmitglieder von LAPSUS$ zwischen 15 und 21 Jahre alt sein sollen. Außerdem operiert LAPSUS$ mit einem sehr geringen Budget und ist alles andere als unauffällig: Nach Angaben von Microsoft scheint LAPSUS$ seine Spuren nicht zu verwischen oder seine Aktivitäten zu verbergen. Tatsächlich kündigt die Gruppe ihre Hacks häufig in den sozialen Medien an.

Aber was genau ist das Problem dabei?

Nun – in der Informationssicherheit müssen wir versuchen, die Taktiken der Angreifer einzuschätzen.

So können wir uns auf die aktuelle Lage einstellen und die passenden Strategien für die Abwehr finden.

Die „Jungs und Mädels“ von LAPSUS$ mischen aber das Feld ordentlich auf.

„LAPSUS$ hat gezeigt, dass eine Gruppe von Teenagern mit nur 25.000 Dollar in Unternehmen mit ausgereiften Cybersicherheitspraktiken eindringen kann. Mit viel tieferen Taschen, Fokus und Mission, die auf kritische Infrastrukturen abzielen. Das sollte ein ernüchternder, wenn nicht gar erschreckender Aufruf zum Handeln sein.“
sagte Amit Yoran, CEO des Sicherheitsunternehmens Tenable.

Ein wesentlicher Erfolgsfaktor ist eine gewisse Naivität und Hartnäckigkeit.

Kommt man bei einem Opfer nicht zum Ziel, so gewinnt man dennoch weitere Informationen über die anzugreifende Firma, die man dann beim nächsten Opfer wieder einsetzt.

Da werden einfach die Mitarbeiter eines Unternehmens angerufen, um sie dazu zu bringen, z.B. ein neues VPN einzurichten.

Dabei werden dann Zugangsdaten abgegriffen.

Klappt das nicht, versucht man es einfach so lange weiter, bis man jemanden erwischt, bei dem es funktioniert.

„Es macht den Angreifern wenig aus, wenn die ersten Social-Engineering-Versuche fehlschlagen. Die meisten betroffenen Mitarbeiter arbeiten von zu Hause aus oder sind über ein mobiles Gerät erreichbar. Wenn die Angreifer beim ersten Mal keinen Erfolg haben, versuchen sie es einfach noch einmal mit einem anderen Mitarbeiter.“

„Und mit jedem weiteren Versuch können die Phisher von den Angestellten wichtige Details über die Arbeitsweise des Zielunternehmens erfahren, wie z. B. die firmenspezifische Sprache, mit der die verschiedenen Online-Assets beschrieben werden, oder die Unternehmenshierarchie.“

„So lernen die Betrüger bei jedem erfolglosen Versuch, wie sie ihren Social-Engineering-Ansatz bei der nächsten Zielperson im Unternehmen verfeinern können.“
(Quelle: https://krebsonsecurity.com/2022/04/the-original-apt-advanced-persistent-teenagers)

Dann eine weitere Änderung der Taktik.

Es besteht wenig Interesse daran, sich länger im System zu verbergen.

Das Ziel ist, in kurzer Zeit so viel Informationen und Daten abzugreifen, wie möglich.

Man geht von Anfang an davon aus, nur einen zeitlich beschränkten Zugang zu haben.

Ein anderes Problem sind die offen kommunizierten Angebote an die Mitarbeiter von Unternehmen.

LAPSUS$
We recruit employees/insider at the following!!!!
– Any company providing Telecommunications (Claro, Telefonica, ATT, and other similar)
– Large software/gaming corporations (Microsoft, Apple, EA, IBM, and other similar)
– Callcenter/BPM (Atento, Teleperformance, and other similar)
– Server hosts (OVH, Locaweb, and other similar)
TO NOTE: WE ARE NOT LOOKING FOR DATA, WE ARE LOOKING FOR THE EMPLOYEE TO PROVIDE US A VPN OR CITRIX TO THE NETWORK, or some anydesk
lf you are not sure if you are needed then send a DM and we will respond!!!!
If you are not a employee here but have access such as VPN or VDI then we are still interested!!
You will be paid if you would like. Contact us to discuss that
@lapsusjobs

Es werden gezielt Mitarbeiter in Unternehmen angesprochen, die für Summen um die 20.000 $ der Gruppe einen Zugang zum System verschaffen sollen.

Wohin führt uns das und wie gehen wir damit um?

  • Ist nun jeder Mitarbeiter ein potenzieller Angreifer?
  • Muss ich damit rechnen, dass ein gekündigter oder verärgerter Mitarbeiter noch einmal auf die Schnelle abkassiert?
  • Wie kann ich diesen „menschlichen Faktor“ überhaupt überwachen?

Microsoft – die übrigens auch erfolgreich angegriffen wurden – hat dazu einen „Blog Post“ veröffentlicht.

Detecting, hunting, and responding to DEV-0537 activities
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/#Detections

Dabei ist auffällig, dass der Dienst „Microsoft Sentinel“ oft genannt wird.

Das ist ein richtig gutes Werkzeug. Aber leider auch mit richtig guten Kosten.

Was ist Microsoft Sentinel?
https://docs.microsoft.com/de-de/azure/sentinel/overview

Die Kosten kann man grob selbst errechnen.

Planen der Kosten für Microsoft Sentinel
https://docs.microsoft.com/de-de/azure/sentinel/billing?tabs=commitment-tier

Je nach Größe des Unternehmens kommen das schnell ein paar tausend Euro im Monat zusammen.

Ohne Zweifel – der Service ist es wert – nur muss man ihn sich auch leisten können.

Für den Moment gibt es leider noch keine richtig gute Antwort auf die Frage, wie wir uns auf die neuen Angriffsformen vorbereiten können.

Vielleicht hilft eine regelmäßige und gezielte Schulung der Mitarbeiter?

Das Beispiel zeigt erneut, dass wir immer wieder mit neuen Überraschungen rechnen müssen.

Nach den „Lieferkettenangriffen“ kamen die Probleme mit den nicht gepatchten Exchange Servern und dann gleich danach das Thema mit Log4J.

Heute ist es LAPSUS$ – was morgen kommt, werden wir sehen.