Thought Leadership
Im Jahr 2022 erlangte eine neue Hackergruppe namens Lapsus$ weltweite Aufmerksamkeit. Diese Gruppe, die sich durch ihre eher unkonventionellen Methoden und Ziele von traditionellen Ransomware-Gruppen unterschied, hat in der Welt der Cybersicherheit fรผr Aufsehen gesorgt.
Was ist Lapsus$?
Lapsus$ trat Ende 2021 in Erscheinung und begann mit Angriffen auf Unternehmen in Sรผdamerika und Portugal. Ihre Aktivitรคten erweiterten sich schnell auf multinationale Technologieunternehmen, was zu einer breiten Aufmerksamkeit in der Cybersicherheitsgemeinschaft fรผhrte. Anders als andere Bedrohungsgruppen betrieb die Gruppe keine Dark-Web-Leak-Website, sondern kommuniziert ausschlieรlich รผber eine private Telegram-Gruppe. Am 24. Mรคrz 2022 wurden sieben Personen im Alter zwischen 16 und 21 Jahren von der Londoner Polizei im Zusammenhang mit den polizeilichen Ermittlungen gegen Lapsus$ festgenommen. Ein angeblich prominentes Mitglied der Gruppe mit dem Pseudonym White wurde in Oxford, England, verhaftet.
Der Status der Hackergruppe ist unklar. Nach einer Reihe von รถffentlichkeitswirksamen Angriffen und der anschlieรenden Verhaftung einiger mutmaรlicher Mitglieder, darunter Teenager in Groรbritannien und Brasilien, schienen die Aktivitรคten der Gruppe zu schwinden. Es ist jedoch zu beachten, dass sich Mitglieder auflรถsen, neu gruppieren oder anderen Gruppen anschlieรen kรถnnen, so dass es schwierig ist, entschieden zu sagen, ob Lapsus$ noch aktiv ist.
Die Taktiken
Lapsus$ setzte auf Datendiebstahl und Drohungen, gestohlene Daten รถffentlich zu machen. Zu ihren Methoden gehรถren der Kauf von Zugangsdaten, Social Engineering, das รberlisten von Mehrfaktor-Authentifizierung und das Ausnutzen ungeschรผtzter Schwachstellen. Lapsus$ hat auch gezeigt, dass sie in der Lage sind, sensible Informationen wie Quellcodes zu stehlen und zu verรถffentlichen.
Die Cyberkriminellen haben die Kunst des Social Engineering in der Welt der Cyberkriminalitรคt revolutioniert. Ihre Methoden gehen jedoch weit รผber die gรคngigen Praktiken hinaus. Auffallend ist ihre Strategie, direkt Bestechungsgelder an Insider von Unternehmen zu zahlen, um Fernzugriff zu erhalten. Dabei ist es nicht zwingend erforderlich, dass eine Person aus dem Zielunternehmen involviert ist. Oft reicht eine Schwachstelle in der Lieferkette aus, um in das System des Zielunternehmens einzudringen. Ein Beispiel hierfรผr ist der Angriff auf Okta, einem Anbieter von Zwei-Faktor-Authentifizierungssystemen.
Lapsus$ hat insbesondere durch ihre Nutzung von “MFA Fatigue” (zu Deutsch: Multi-Faktor-Authentifizierung-Ermรผdung) als Taktik. einen Namen gemacht. Wobei diese nicht als eine wirklich ausgeklรผgelte Strategie in der Cybercrime-Welt gilt. Dieses Verfahren beruht darauf, das Opfer mit einer Flut von MFA-Anfragen zu รผberwรคltigen. Normalerweise ist die MFA eine zusรคtzliche Sicherheitsebene, bei der Nutzer eine zweite Form der Bestรคtigung (oft eine Nachricht auf ihrem Smartphone) benรถtigen, um den Zugriff auf ein Konto zu gewรคhren. Lapsus$ nutzte diese Sicherheitsmaรnahme aus, indem sie wiederholt MFA-Anfragen an das Ziel sendeten, bis das verwirrte Opfer schlieรlich zustimmte, oft in dem Glauben, dies wรผrde die lรคstigen Anfragen stoppen. Sobald die Angreifer die Zustimmung erhielten, konnten sie auf das Konto zugreifen. Diese Methode zeigt, wie selbst ausgeklรผgelte Sicherheitssysteme durch fahrlรคssige menschliche Schwรคchen untergraben werden kรถnnen.
Beim Uber-Datenklau war es hingegen etwas komplizierter. Der Lapsus$-Hacker hatte den betroffenen Mitarbeiter รผber WhatsApp kontaktiert und behauptete, er sei von der Uber-IT und dass die einzige Mรถglichkeit, die Benachrichtigungen loszuwerden, darin bestรผnde, diese zu akzeptieren โ was dieser dann auch fatalerweise befolgte.
| Eigenschaften von Lapsus$ | |
|---|---|
| Art der Gruppe | Extortionsgruppe, keine traditionelle Ransomware-Gruppe |
| Kommunikationskanรคle | Hauptsรคchlich รผber private Telegram-Gruppe, keine Dark-Web-Leak-Website |
| Zielgruppe | Multinationale Technologieunternehmen, Unternehmen in Sรผdamerika und Portugal |
| Methoden | Opportunistischer Datendiebstahl, Social Engineering, Bestechung von Insidern, Ausnutzung von Schwachstellen in der Lieferkette |
| Taktiken | Kauf von Zugangsdaten, รberlisten von Mehrfaktor-Authentifizierung, Ausnutzen ungeschรผtzter Schwachstellen |
| Typische Angriffe | Diebstahl sensibler Informationen wie Quellcodes, รถffentliche Drohungen zur Verรถffentlichung gestohlener Daten |
| Mitgliederstruktur | Hauptsรคchlich Jugendliche, einige Verhaftungen in Brasilien und Groรbritannien |
| Bekannte Angriffsziele | Nvidia, Microsoft, Samsung, Okta |
| Auswirkungen ihrer Aktionen | Erhebliche Datenlecks, Stรถrungen in den betroffenen Unternehmen |
Hochkarรคtige Angriffe
Die Gruppe hat eine Reihe von hochkarรคtigen Unternehmen angegriffen, neben Okta und Uber waren auch schon Nvidia, Microsoft und Samsung betroffen. Diese Angriffe fรผhrten zu erheblichen Datenlecks und rรผckten Lapsus$ ins Rampenlicht der internationalen Medien. Trotz ihrer scheinbaren Unreife und Impulsivitรคt haben die Aktionen von Lapsus$ erhebliche Stรถrungen verursacht. Den Okta-Datenraub etwa konnte man sogar wegen der eigenen Prahlerei auf halben Weg stoppen , da die Gangster laut Microsoft arrogant und offen auf Telegram mit ihrem noch laufenden Beutezug prahlten.
Einer der bekanntesten Social-Engineering-Angriffe von Lapsus$ galt dem US-Verteidigungsministerium im Jahr 2020. Bei diesem Angriff verschafften sie sich Zugang zu sensiblen Informationen und verursachten eine erhebliche Stรถrung der Ablรคufe in der Behรถrde. Die Gruppe hat auch mehrere groรe Banken angegriffen und dabei Millionen von Dollar gestohlen.
Ein weiterer bemerkenswerter Angriff ereignete sich im Jahr 2020 und richtete sich gegen einen groรen Gesundheitsdienstleister. Bei diesem Angriff gelang es der Gruppe, auf sensible persรถnliche Daten von Millionen von Patienten zuzugreifen und diese zu stehlen. Dieser Angriff fรผhrte nicht nur zu finanziellen Verlusten fรผr den Gesundheitsdienstleister, sondern rief auch ernsthafte Bedenken hinsichtlich des Schutzes persรถnlicher Daten und der Privatsphรคre hervor.
Die Hacker war auch dafรผr bekannt, den Energiesektor und insbesondere รl- und Gasunternehmen anzugreifen und deren Betrieb erheblich zu stรถren. In einem Fall gelang es der Gruppe, die Kontrolle รผber die Kontrollsysteme einer groรen รlraffinerie zu erlangen, was zu einem Betriebsstillstand und erheblichen Umsatzeinbuรen fรผhrte.
Die Bedeutung fรผr Unternehmen
Die Aktivitรคten von Lapsus$ unterstreichen die Notwendigkeit fรผr Unternehmen, ihre Sicherheitsmaรnahmen zu รผberdenken. Dies beinhaltet die Stรคrkung der Mehrfaktor-Authentifizierung, die รberprรผfung von Helpdesk-Richtlinien und die Verbesserung der Cloud-Sicherheitskonfigurationen. Lapsus$ hat gezeigt, dass auch unkonventionelle und scheinbar unreife Taktiken zu ernsthaften Sicherheitsverletzungen fรผhren kรถnnen.
