Au cours des trois derniers mois, un mystérieux gang de hackers a donné à la Silicon Valley une migraine aux proportions épiques. LAPSUS$, un groupe de cybercriminels avec des techniques peu orthodoxes et une passion pour le dramatique, a connu une série de coups de feu blancs – alignant les entreprises technologiques et les renversant comme des quilles.
Les cibles du gang sont grandes. Microsoft, Samsung, Nvidia, Ubisoftet, plus récemment, société de vérification d’identité Okta, ont tous été victimes de cyberattaques humiliantes. Dans presque tous ces cas, LAPSUS$ s’est frayé un chemin profondément dans les réseaux des entreprises, où il a ensuite volé des morceaux de code source – l’ADN numérique des logiciels propriétaires. Après cela, le gang a presque toujours divulgué le code partout sur Internet, embarrassant la victime et déversant des secrets d’entreprise dans l’éther.
Le sens aigu du piratage du groupe l’a conduit dans les sanctuaires les plus intimes d’entreprises multimilliardaires, mais certains chercheurs en sécurité dire que LAPSUS$ pourrait finalement être composé moins de cybercriminels endurcis que d’amateurs indisciplinés. En effet, un tas d’entre eux Peut être enfants littéraux. Jeudi, les autorités britanniques annoncé l’arrestation de sept personnes qui seraient liées au gang, dont les goûts auraient entre 16 et 21 ans. Le chef du gang, quant à lui, est réputé être un gamin de 16 ans d’Oxford, en Angleterre. Ce pirate informatique, qui porte le pseudonyme de « White », semble avoir récemment vu son identité divulguée sur Internet par une faction rivale de la cybercriminalité.
En bref : après une série de victoires et une grande notoriété, les choses ne semblent pas aller particulièrement bien pour LAPSUS$ – et le groupe est peut-être au-dessus de leurs têtes.
« Contrairement à la plupart des groupes d’activités qui restent sous le radar…[LAPSUS$] ne semble pas brouiller les pistes », ont déclaré des chercheurs du Threat Intelligence Center de Microsoft, dans un récent article de blog. « Ils vont jusqu’à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d’acheter des identifiants à des employés d’organisations cibles…[the gang] utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d’autres acteurs de la menace suivis par Microsoft. Pourtant, ce sont ces tactiques mêmes qui rendent le gang si fascinant.
G/O Media peut toucher une commission
Le gang des rançongiciels qui n’était pas
Avant de pirater certaines des plus grandes entreprises de la Silicon Valley, LAPSUS$ a passé janvier 2022 à réaliser de nombreuses cascades de cybercriminalité juvénile, qui semblaient moins faire de l’argent que s’amuser anarchiquement. Lors de l’un de ses premiers piratages de l’année, par exemple, le gang a attaqué une société de location de voitures brésilienne, redirigeant l’entreprise. page d’accueil sur un site porno pendant plusieurs heures. Lors d’un autre incident, le gang a repris le compte Twitter vérifié d’un journal portugais et tweeté: « LAPSUS$ EST OFFICIELLEMENT LE NOUVEAU PRÉSIDENT DU PORTUGAL. »
Premier rapport sur LAPSUS $ tenté catégoriser le groupe comme un «gang de ransomwares», en partie à cause de son habitude de divulguer des données volées – en tant que gangs de ransomwares ont l’habitude de faire. Superficiellement, cela aurait pu sembler en être un, mais il n’y avait qu’un seul problème : LAPSUS$ n’a jamais réellement utilisé de rançongiciel.
Le gang a opéré uniquement via un extorqueur modèle, en évitant complètement les logiciels malveillants. Au lieu de crypter les données des victimes, LAPSUS$ les vole, puis menace de les divulguer si sa rançon n’est pas payée. C’est une variation étrange et maladroite de l’industrie des rançongiciels modèle de double extorsion– qui utilise la double menace du cryptage et de la fuite des données pour inciter les victimes à payer. En général, la plupart des gangs de rançongiciels fonctionnent comme versions fantômes d’entreprises typiques – déployant une organisation assez organisée et sopmachines numériques histiquées vers le vol et l’extorsion.
À l’inverse, LAPSUS$ a fonctionné comme une startup dysfonctionnelle. Il a, dans certains cas, manqué de discipline pour même interroger contre une rançon – en choisissant plutôt de sauter une demande financière et de simplement divulguer les données piratées pour l’enfer. Les chercheurs en sécurité de Microsoft ont qualifié ce style de « modèle d’extorsion et de destruction pures », une tournure de phrase qui décrit avec justesse le modus operandi chaotique et pas tout à fait efficace du groupe.
Faire le chaos
Un domaine où LAPSUS$ a clairement réussi est l’intrusion, bien qu’il n’utilise pas nécessairement des techniques innovantes pour pénétrer à l’intérieur des réseaux et des systèmes. Le groupe a misé sur un certain nombre de stratégies bien connues, y compris l’utilisation d’un logiciel malveillant de vol de mot de passe appelé « Redline », une variété de ingénierie sociale stratagèmes, et l’achat d’informations d’identification de compte et jetons de session sur les forums darknet. Dans le même temps, le gang a fréquemment courtisé les initiés des entreprises cibles, tentant de les débaucher via ce qui équivaut à des offres d’emploi en ligne. Dans un cas, le chef présumé du groupe offert employés de Verizon et d’AT&T jusqu’à 20 000 $ par semaine pour passer à son opération criminelle et effectuer des « travaux internes ».
Les méthodes variées de LAPSUS$ pour cibler ses cibles ont été remarquablement efficaces. Son piratage de Microsoft, par exemple, est croyait avoir compromis une multitude de données, dont 90 % du code source du moteur de recherche Bing, ainsi que près de la moitié du code source de Bing Maps et de l’assistant virtuel Cortana. L’attaque du gang contre Okta, quant à elle, pourrait s’avérer avoir des implications pour les entreprises au-delà de l’entreprise de vérification d’identité elle-même. Étant donné qu’Okta vend ses services de sécurité à des milliers d’autres entreprises, une compromission de ses systèmes a également des implications en matière de sécurité pour ses clients. Dans une mise à jour mercredi, Okta a admis que les données de autant que 366 de ses clients avaient été potentiellement touchés par la récente attaque LAPSUS$.
En quête de notoriété
Une autre indication des tendances flashy mais potentiellement imprudentes du gang réside dans son vecteur de fuite unique. LAPSUS$ utilise l’application de chat semi-cryptée Télégramme– pas typique de la plupart des gangs de cybercriminalité. La plupart des pirates de rançongiciels créent leur propre «sites de fuite” où ils peuvent conserver du matériel piraté et menacer d’en publier davantage si leur victime ne paie pas. Les sites sont généralement des environnements clairsemés et contrôlés.
LAPSUS$, quant à lui, a utilisé Telegram et d’autres comptes de médias sociaux comme une sorte de mégaphone, une stratégie qui lui a permis de cultiver une relation plus forte et plus interactive avec le public. Le gang compte actuellement quelque 48 000 adeptes de Telegram et encourage activement ses spectateurs à commenter les fuites, à correspondre avec les membres par e-mail et à suivre généralement les aventures du piratage.
Ce comportement semblerait révéler que LAPSUS$ apprécie l’attention – potentiellement même plus qu’il n’aime l’argent, mais probablement moins qu’il n’aime le piratage. Cela pourrait en fait être le problème du groupe : comme beaucoup de criminels débutants, ils semblent plus préoccupés par les montées d’adrénaline et les feux de la rampe que par la gestion d’une opération lucrative efficace.
Heure amateur
Les analystes de la cybersécurité qui ont parlé à Gizmodo s’accordent à dire que, malgré la liste d’encoches impressionnantes à sa ceinture et ses techniques d’intrusion réussies, LAPSUS$ n’est peut-être pas le navire le plus étanche. Autrement dit, le gang est peut-être plus doué pour le piratage que pour la gestion d’une entreprise criminelle, ce qui aurait un certain sens si le gang est en fait une bande d’enfants. Brett Callow, analyste des menaces pour la société de cybersécurité Emsisoft, a déclaré que certains comportements du gang montraient clairement un manque d’efficacité et d’organisation.
« Si les attaques avaient été menées par une opération de cybercriminalité plus organisée ou un acteur soutenu par l’État, le résultat aurait pu être bien pire », a déclaré Callow dans un e-mail à Gizmodo. « Il ne s’agit pas de minimiser la menace que peuvent représenter des groupes comme LAPSUS$. Le fait que leurs motivations ne soient pas nécessairement aussi clairement définies que d’autres opérations de cybercriminalité peut les rendre plus difficiles à gérer.
De même, le journaliste de Motherboard Joseph Cox a écrit à propos de ses rencontres avec le gang, dont les goûts vont du bizarre au carrément comique. Pour entendre Cox le dire, LAPSUS $ lui a malheureusement demandé de l’aide après il a piraté EA Games l’été dernier. Le gang, qui ne savait pas comment demander une rançon à EA, semblait penser que, parce que Cox était journaliste, il pouvait assurer la liaison avec l’entreprise et « agir comme un intermédiaire » pour les demandes financières du gang.
D’autres analystes s’accordent à dire que LAPSUS$ ne sait pas vraiment comment sécuriser un paiement et peut même ne pas être intéressé par celui-ci. « LAPSUS$ a l’habitude de faire des demandes irréalistes en échange de ses données volées », ont récemment écrit des chercheurs sur les menaces de SecurityScorecard. dans un article de blog.
« LAPSUS$ ne semble pas être en mesure de déterminer un montant de rançon approprié pour les données qu’il a volées, et il ne semble pas non plus donner à ses victimes beaucoup de temps pour négocier un paiement en échange de ne pas divulguer d’informations », ont-ils ajouté, expliquant que , en réalité, le groupe « peut ne pas être financièrement motivé » du tout. LAPSUS$ peut semer le chaos pour le plaisir et « faire des demandes en sachant que les victimes ne paieront pas, afin qu’elles puissent ensuite attirer l’attention et l’infamie en divulguant des données d’entreprises de premier plan », ont écrit les chercheurs.
Doxxé et signalé
Si les membres de LAPSUS$ voulaient l’infamie, ils semblent certainement s’y diriger. Les jours heureux de chaos exultant du gang peuvent maintenant être dans le rétroviseur, alors que les forces de l’ordre se rapprochent de plus en plus. Outre la vague d’arrestations qui a eu lieu jeudi, le chef présumé du gang semble également avoir un autre problème entre les mains : se faire doxxer par une faction cybercriminelle rivale.
Le pirate en question, qui utilise de nombreux pseudonymes en ligne, dont « White », « Oklaqq » et « Breachbase », serait un enfant de 16 ans qui vit à la maison avec sa mère près d’Oxford, en Angleterre. Bbc rapports qu’il est également autiste et qu’il fréquente une école spécialisée à Oxford. En bref entretienle père du suspect a apparemment admis que son fils passait « beaucoup de temps sur l’ordinateur » mais « pensait qu’il jouait à des jeux » ou quelque chose comme ça.
En janvier, les rivaux présumés du pirate informatique ont publié ce qu’ils ont dit être son vrai nom et d’autres détails d’identification via Doxbin, un site Web controversé qui est spécifiquement utilisé pour divulguer des informations personnelles sur les gens. Dans un article sur le site, les doxxers ont déclaré que « White » possédait plus de 300 Bitcoins, ce qui représenterait une valeur nette de près de 14 millions de dollars. Ils ont qualifié LAPSUS$ de « groupe de rançongiciels en herbe ».
Selon Allison Nixon, directeur de la recherche de la société de cybersécurité Unit 221B, « White » a été doxxé en raison de sa relation commerciale antérieure avec les opérateurs de Doxbin. Lorsque Gizmodo l’a interrogée sur la prétendue fuite de l’identité du pirate, Nixon a affirmé qu’un « groupe criminel rival » avait fini par « trouver et publier » les informations personnelles du suspect. Selon Nixon, Doxbin était effectivement acheté par « White » à un moment donné, mais il a fini par être un administrateur inefficace. Comme vengeance apparente pour avoir laissé le site « tomber dans l’oubli », les anciens propriétaires ont repris le contrôle de Doxbin, puis ont décidé de doxer « White » pour ses mauvaises pratiques de gestion, dit Nixon.
Gizmodo a visionné des captures d’écran du message Doxbin, mais nous ne divulguons pas les détails qui prétendent l’identifier.
Nixon a également déclaré à Gizmodo que son entreprise avait travaillé avec un certain nombre d’autres entreprises de cybersécurité pendant une bonne partie de l’année pour suivre les activités de « White » et que, dès la mi-2021, ils avaient découvert la véritable identité du pirate. puis l’a signalé à la police. On ne sait pas si les forces de l’ordre enquêtent sur le gang depuis lors ou pourquoi il a fallu si longtemps pour que les suspects soient arrêtés.