Wurde die LAPSUS$-Bande geschnappt? Die Angriffe gehen dennoch weiter. Beschäftigte in Unternehmen sollten über Attacken mit Social-Engineering-Techniken besser aufgeklärt werden und zusammen mit MTR-Services ein aktiver Teil der Verteidigung sein.
Die berüchtigte LAPSUS$-Bande erregt(e) mit ihren cyberkriminellen Handlungen viel Aufsehen – nicht nur weil sie mit ihren außergewöhnlichen Social-Engineering-Techniken und Erpressungen mit Angriffen auf Microsoft, Samsung, Okta, Nvidia und andere in Verbindung gebracht wird, sondern auch weil sie nach wie vor höchst aktiv zu sein scheint. Und das, obwohl einige der mutmaßlichen Drahtzieher bereits verhaftet wurden. Das wirft Fragen auf.
Perfide Taktik und Arroganz
Die LAPSUS$-Gruppe hat das Social Engineering in der Cyberkriminalität auf ein neues Level gehoben. Sie geht weit über die üblichen Methoden des Schmeichelns oder Ausnutzens der Opfer hinaus. Sie arbeitet augenscheinlich auch mit direkter Bestechung, indem sie Unternehmens-Insidern anbietet, sie für den Fernzugriff zu bezahlen. Dafür ist nicht einmal eine Person innerhalb des anvisierten Unternehmens nötig. Eine technische oder menschliche Schwachstelle in der Lieferkette reicht völlig aus, um in das Zielunternehmen einzudringen. So ist es mutmaßlich z.B. beim Angriff auf Okta, einem Anbieter von Zwei-Faktor-Authentifizierungssystemen geschehen.
Diesen Datenraub auf halbem Weg zu stoppen, konnte laut Microsoft nur gelingen, weil die LAPSUS$-Gangster arrogant und offen auf Telegram mit ihrem noch laufenden Coup prahlten.
Verhaftungen in Großbritannien – aber es geht weiter
Vor etwas mehr als einer Woche meldete die Londoner Polizei mehrere Verdächtige in Gewahrsam genommen zu haben. Es handelte sich hierbei um sieben Personen im Alter von 16 bis 21 Jahren, die dann zunächst wieder freigelassen wurden.
Die Medien brachten die Verhaftungen schnell mit LAPSUS$ in Verbindung. In der Zwischenzeit liefen Aktivitäten im Zusammenhang mit LAPSUS$ weiter: Etwa 70 GByte an Daten, die von der Softwareentwicklungsfirma Globant entwendet wurden, gelangten an die Öffentlichkeit.
Das große Rätsel
Das Rätsel rund um die LAPSUS$-Gangster gelangte vergangenen Freitag zu einem neuen Höhepunkt, als die Londoner Polizei mitteilte, dass zwei Verdächtige im Alter von 16 und 17 Jahren – vermutlich zwei der sieben zuvor verhafteten – an diesem Morgen (01. April 2022) vor Gericht erscheinen sollten. Laut Londoner Polizei erhob man Anklage gegen die beiden.
Was ist zu tun?
In einem Folgebericht besteht die BBC darauf, dass die Verdächtigen „des Hackens für eine große Cyberkriminalitätsbande” angeklagt wurden, wobei sie in ihrer Überschrift ausdrücklich angibt, dass es sich bei dieser Bande tatsächlich um LAPSUS$ handelt. Allerdings ist es unwahrscheinlich, dass verlässliche Details vor einem Gerichtsentscheid bekannt werden.
Das Wichtigste derweil ist, dass Unternehmen auf die LAPSUS$-Angriffe vorbereitet sind, die darauf zielen, Fernzugriff auf Systeme zu erhalten, indem Unternehmensangehörige hierfür ausgetrickst, überredet oder bestochen werden. Wenn Unternehmen noch keine schnelle und einfache Möglichkeit für Ihre Mitarbeitenden haben, Sicherheitsanomalien an interne Sicherheitsexpert:innen zu melden, sollten Sie dies jetzt einrichten.
Zwei wichtige Punkte sind auf jeden Fall zu beachten:
- Wenn ein ungewöhnlicher Link, ein unerwarteter Anhang, eine Passwortanfrage oder ein dubios klingendes Angebot auftreten, sollte dies im Unternehmen sofort gemeldet werden. Jede Meldung sollte dabei mit Ernst behandelt werden, denn auch wenn es sich womöglich um einen Fehlalarm handelt, gilt es, die Anwender:innen im Unternehmen motiviert zu halten, das Unternehmen zu schützen. Liebe eine Meldung zu viel bearbeiten, als die richtige übersehen zu haben.
- Darüber hinaus kann ein Managed Threat Response (MTR)-Service, der sich um die Details der Cybersicherheit kümmert, insbesondere wenn die internen Ressourcen dafür begrenzt sind, große Hilfe leisten.
Weitere Informationen:
Mehr Details dazu im Beitrag von Paul Ducklin, IT-Security-Experte bei Sophos.
www.sophos.com