Simovits

Felsteg och insiderhot

Veckans blogg handlar om aktuella händelser i cybersäkerhetsvärlden kopplade till gruppen Lapsus$. Den senaste uppdateringen kring gruppen är att misstänkta medlemmar gripits, men här tittar vi lite mer på vad de gjort, hur de gått tillväga samt vad som kan göras för att minska risken och påverkan av intrång.

Från Hälsoministeriet i Brasilien till Microsoft

I december 2021 blev det brasilianska hälsoministeriet angripna av Lapsus$ som lämnade ett meddelande på systemen som de gjort intrång på. Gruppen påstod sig ha stulit 50TB data och därefter raderat detta i hälsoministeriets system och otillgängligjort deras webbsida, vaccinpassystem och en mängd andra tjänster. Utredningen visade sedan att angriparna använt sig av inloggningsuppgifter för att tillskansa sig åtkomst till nätverket, som i stor del var molnbaserad.

utpressningsmeddelande från Lapsus group till brasiliens hälsoministerie
Utpressningsmeddelande till det Brasilianska hälsoministeriet: ”Systemens interna data kopierades och raderades. 50 TB data finns i våra händer. Kontakta oss om du vill ha tillbaka datat.”

Initialt riktade sig de mot Portugisiska eller sydamerikanska mål och i vissa fall har liknande utpressningsmeddelande förekommit, som bilden ovan visar, men med olika innehåll i meddelandet beroende på vilket data hotaktören har kommit över.
Gruppen har runt årsskiftet 2022 fokuserat på media i Portugal och Sydamerika. De har angripit den portugisiska mediagruppen Impresa som bland annat äger landets största tv-kanal ISC och veckotidning Expresso. Även de sydamerikanska telekombolagen Claro och Embatel förr offer. Utöver detta har de även angripit Vodafone Portugal och det brasilianska biluthyrningsbolaget Localiza. Detta är bara ett urval av de angrepp som de utfört under januari och februari 2022. Deras modus har då varit stöld av data men det har även förekommit att de utfört tillgänglighetsangrepp.
Lapsus$ utför utpressningsangrepp genom stöld och radering av data, men det finns egentligen inga indikationer på att de använder sig av skadlig kod så som ransomware eller andra exploits. De söker tillgång till system för att komma över data som de kan läcka, helt eller delvis.
Hotaktören har därefter också utfört intrång på andra bolag, utanför sydamerika. I mitten av februari har de ett lyckat intrång på bland annat Nvidia och i mars läggs Samsung, Ubisoft, Microsoft och Okta till på listan av intrång och dataläckor utförda av Lapsus$.

Vems felsteg är orsaken till dataintrången?

Men hur åstadkommer det detta? Svaret kan vara insiders eller opportunistiska angrepp. Lapsus$ har bland annat publicerat följande rekryteringsannons i deras Telegram-grupp vilket indikerar på att de söker sig till insiders:

lapsus rekryteringsannons för insiders

Det finns tydliga indikationer på att de fokuserar på att tillskansa sig inloggningsuppgifter för initial tillgång till it-miljöer. Microsofts analys av gruppen, som de kallar DEV-0537, beskriver även följande metoder, utöver rekrytering av insiders:
• De exekverar Redline password stealer för att samla in lösenord och sessionstokens
• De köper inloggningsuppgifter och sessionstokens från undergroundforum
• Letar efter inloggningsuppgifter i källkod (som är publik)

Lärdomar

Några lärdomar att dra från Lapsus$ metoder är vikten av att implementera principerna lägsta behörighet och separation av ansvar. Ge användare endast den behörighet och den åtkomst som de behöver för att kunna utföra sina arbetsuppgifter för att minska risken att information hamnar i orätta händer.