Wer steckt hinter Lapsus$?

Hacker

Im Jahr 2022 erlangte eine neue Hackergruppe namens Lapsus$ weltweite Aufmerksamkeit. Diese Gruppe, die sich durch ihre eher unkonventionellen Methoden und Ziele von traditionellen Ransomware-Gruppen unterschied, hat in der Welt der Cybersicherheit fรผr Aufsehen gesorgt.

Was ist Lapsus$?

Lapsus$ trat Ende 2021 in Erscheinung und begann mit Angriffen auf Unternehmen in Sรผdamerika und Portugal. Ihre Aktivitรคten erweiterten sich schnell auf multinationale Technologieunternehmen, was zu einer breiten Aufmerksamkeit in der Cybersicherheitsgemeinschaft fรผhrte. Anders als andere Bedrohungsgruppen betrieb die Gruppe keine Dark-Web-Leak-Website, sondern kommuniziert ausschlieรŸlich รผber eine private Telegram-Gruppe. Am 24. Mรคrz 2022 wurden sieben Personen im Alter zwischen 16 und 21 Jahren von der Londoner Polizei im Zusammenhang mit den polizeilichen Ermittlungen gegen Lapsus$ festgenommen. Ein angeblich prominentes Mitglied der Gruppe mit dem Pseudonym White wurde in Oxford, England, verhaftet.

Anzeige

Der Status der Hackergruppe ist unklar. Nach einer Reihe von รถffentlichkeitswirksamen Angriffen und der anschlieรŸenden Verhaftung einiger mutmaรŸlicher Mitglieder, darunter Teenager in GroรŸbritannien und Brasilien, schienen die Aktivitรคten der Gruppe zu schwinden. Es ist jedoch zu beachten, dass sich Mitglieder auflรถsen, neu gruppieren oder anderen Gruppen anschlieรŸen kรถnnen, so dass es schwierig ist, entschieden zu sagen, ob Lapsus$ noch aktiv ist.

Die Taktiken

Lapsus$ setzte auf Datendiebstahl und Drohungen, gestohlene Daten รถffentlich zu machen. Zu ihren Methoden gehรถren der Kauf von Zugangsdaten, Social Engineering, das รœberlisten von Mehrfaktor-Authentifizierung und das Ausnutzen ungeschรผtzter Schwachstellen. Lapsus$ hat auch gezeigt, dass sie in der Lage sind, sensible Informationen wie Quellcodes zu stehlen und zu verรถffentlichen.

Die Cyberkriminellen haben die Kunst des Social Engineering in der Welt der Cyberkriminalitรคt revolutioniert. Ihre Methoden gehen jedoch weit รผber die gรคngigen Praktiken hinaus. Auffallend ist ihre Strategie, direkt Bestechungsgelder an Insider von Unternehmen zu zahlen, um Fernzugriff zu erhalten. Dabei ist es nicht zwingend erforderlich, dass eine Person aus dem Zielunternehmen involviert ist. Oft reicht eine Schwachstelle in der Lieferkette aus, um in das System des Zielunternehmens einzudringen. Ein Beispiel hierfรผr ist der Angriff auf Okta, einem Anbieter von Zwei-Faktor-Authentifizierungssystemen.

Anzeige

Lapsus$ hat insbesondere durch ihre Nutzung von „MFA Fatigue“ (zu Deutsch: Multi-Faktor-Authentifizierung-Ermรผdung) als Taktik. einen Namen gemacht. Wobei diese nicht als eine wirklich ausgeklรผgelte Strategie in der Cybercrime-Welt gilt. Dieses Verfahren beruht darauf, das Opfer mit einer Flut von MFA-Anfragen zu รผberwรคltigen. Normalerweise ist die MFA eine zusรคtzliche Sicherheitsebene, bei der Nutzer eine zweite Form der Bestรคtigung (oft eine Nachricht auf ihrem Smartphone) benรถtigen, um den Zugriff auf ein Konto zu gewรคhren. Lapsus$ nutzte diese SicherheitsmaรŸnahme aus, indem sie wiederholt MFA-Anfragen an das Ziel sendeten, bis das verwirrte Opfer schlieรŸlich zustimmte, oft in dem Glauben, dies wรผrde die lรคstigen Anfragen stoppen. Sobald die Angreifer die Zustimmung erhielten, konnten sie auf das Konto zugreifen. Diese Methode zeigt, wie selbst ausgeklรผgelte Sicherheitssysteme durch fahrlรคssige menschliche Schwรคchen untergraben werden kรถnnen.

Beim Uber-Datenklau war es hingegen etwas komplizierter. Der Lapsus$-Hacker hatte den betroffenen Mitarbeiter รผber WhatsApp kontaktiert und behauptete, er sei von der Uber-IT und dass die einzige Mรถglichkeit, die Benachrichtigungen loszuwerden, darin bestรผnde, diese zu akzeptieren โ€“ was dieser dann auch fatalerweise befolgte.

Lapsus$ Telegram
Die Lapsus$-Telegram-Gruppe, รผber die die ganze Kommunikation abgewickelt wird. Bildquelle: Screenshot / Telegram
Eigenschaften von Lapsus$
Art der GruppeExtortionsgruppe, keine traditionelle Ransomware-Gruppe
KommunikationskanรคleHauptsรคchlich รผber private Telegram-Gruppe, keine Dark-Web-Leak-Website
ZielgruppeMultinationale Technologieunternehmen, Unternehmen in Sรผdamerika und Portugal
MethodenOpportunistischer Datendiebstahl, Social Engineering, Bestechung von Insidern, Ausnutzung von Schwachstellen in der Lieferkette
TaktikenKauf von Zugangsdaten, รœberlisten von Mehrfaktor-Authentifizierung, Ausnutzen ungeschรผtzter Schwachstellen
Typische AngriffeDiebstahl sensibler Informationen wie Quellcodes, รถffentliche Drohungen zur Verรถffentlichung gestohlener Daten
MitgliederstrukturHauptsรคchlich Jugendliche, einige Verhaftungen in Brasilien und GroรŸbritannien
Bekannte AngriffszieleNvidia, Microsoft, Samsung, Okta
Auswirkungen ihrer AktionenErhebliche Datenlecks, Stรถrungen in den betroffenen Unternehmen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklรคrung zu.

Hochkarรคtige Angriffe

Die Gruppe hat eine Reihe von hochkarรคtigen Unternehmen angegriffen, neben Okta und Uber waren auch schon Nvidia, Microsoft und Samsung betroffen. Diese Angriffe fรผhrten zu erheblichen Datenlecks und rรผckten Lapsus$ ins Rampenlicht der internationalen Medien. Trotz ihrer scheinbaren Unreife und Impulsivitรคt haben die Aktionen von Lapsus$ erhebliche Stรถrungen verursacht. Den Okta-Datenraub etwa konnte man sogar wegen der eigenen Prahlerei auf halben Weg stoppen , da die Gangster laut Microsoft arrogant und offen auf Telegram mit ihrem noch laufenden Beutezug prahlten.

Einer der bekanntesten Social-Engineering-Angriffe von Lapsus$ galt dem US-Verteidigungsministerium im Jahr 2020. Bei diesem Angriff verschafften sie sich Zugang zu sensiblen Informationen und verursachten eine erhebliche Stรถrung der Ablรคufe in der Behรถrde. Die Gruppe hat auch mehrere groรŸe Banken angegriffen und dabei Millionen von Dollar gestohlen.

Ein weiterer bemerkenswerter Angriff ereignete sich im Jahr 2020 und richtete sich gegen einen groรŸen Gesundheitsdienstleister. Bei diesem Angriff gelang es der Gruppe, auf sensible persรถnliche Daten von Millionen von Patienten zuzugreifen und diese zu stehlen. Dieser Angriff fรผhrte nicht nur zu finanziellen Verlusten fรผr den Gesundheitsdienstleister, sondern rief auch ernsthafte Bedenken hinsichtlich des Schutzes persรถnlicher Daten und der Privatsphรคre hervor.

Die Hacker war auch dafรผr bekannt, den Energiesektor und insbesondere ร–l- und Gasunternehmen anzugreifen und deren Betrieb erheblich zu stรถren. In einem Fall gelang es der Gruppe, die Kontrolle รผber die Kontrollsysteme einer groรŸen ร–lraffinerie zu erlangen, was zu einem Betriebsstillstand und erheblichen UmsatzeinbuรŸen fรผhrte.

Die Bedeutung fรผr Unternehmen

Die Aktivitรคten von Lapsus$ unterstreichen die Notwendigkeit fรผr Unternehmen, ihre SicherheitsmaรŸnahmen zu รผberdenken. Dies beinhaltet die Stรคrkung der Mehrfaktor-Authentifizierung, die รœberprรผfung von Helpdesk-Richtlinien und die Verbesserung der Cloud-Sicherheitskonfigurationen. Lapsus$ hat gezeigt, dass auch unkonventionelle und scheinbar unreife Taktiken zu ernsthaften Sicherheitsverletzungen fรผhren kรถnnen.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklรคrung zu.