La frénésie de cybercriminalité lapsus$ se poursuit malgré les arrestations

Ambitieux, chaotique, téméraire

Les analystes de Searchlight Security ont suivi Lapsus$ de manière approfondie ces dernières semaines. Ils décrivent le groupe comme une nouvelle génération d’acteurs de la menace: ambitieux et apparemment quelque peu chaotique, et imprudent, dans son organisation et ses attitudes, ainsi que enclin à semer l’animosité dans la clandestinité cybercriminelle.

Ces facteurs semblent correspondre à la capacité apparente du groupe à ignorer et peut-être même à se remettre des opérations policières de la semaine dernière. Un analyste de Searchlight, s’exprimant sous couvert d’anonymat, a déclaré: « Nous surveillons les développements futurs, mais tout ce que je peux dire, c’est qu’il n’est pas surprenant que le groupe ait continué ses piratages à enjeux élevés même après des arrestations à Londres compte tenu de son appartenance internationale probable, ainsi que d’un bassin de talents prêts à l’emploi de pirates informatiques en herbe désireux de gagner le respect dans son groupe Telegram.

« Il est difficile de prédire la prochaine décision des forces de l’ordre, car certains des membres actuellement actifs de Lapsus$ résideraient dans des pays où les lois sur la cybersécurité sont sous-développées, dont l’application est inégale et qui ne sont pas signataires d’accords internationaux sur la cybercriminalité. Des activités de sensibilisation pour la collaboration inter-agences peuvent avoir lieu, ainsi que des efforts pour démanteler l’infrastructure de Lapsus$, ce qui rend plus difficile pour eux de mener des attaques », ont-ils déclaré.

Compte tenu de sa dernière activité et de ses antécédents de violations de tiers tels que Sitel, qu’il a utilisés pour se rendre à Okta, le groupe est clairement conscient de la façon dont le monde de l’entreprise semble avoir du mal avec la sécurité de la chaîne d’approvisionnement, donnant aux équipes de sécurité et aux gestionnaires de risques un nouvel élan si nécessaire pour résoudre ces problèmes.

Joseph Carson, scientifique en chef de la sécurité chez Delinea, une société de cybersécurité nouvellement créée comprenant ses prédécesseurs Thycotic et Centrify, a déclaré que la violation de Globant montrait que la sécurité de toute organisation n’était aussi bonne que celle de l’entreprise qu’elle conserve.

« Pour les grandes organisations, c’est leur chaîne d’approvisionnement », a-t-il déclaré. « Lapsus$ semble s’être attaqué aux grandes organisations de la chaîne d’approvisionnement et a montré qu’aucune organisation n’a une protection à 100%, ce qui signifie qu’il s’agit de réduire les risques et de détecter rapidement. La technique qui semble être utilisée par Lapsus$ est de s’attaquer aux utilisateurs privilégiés, ce qui devrait être une priorité absolue à protéger, et je recommande fortement aux organisations d’appliquer le principe du moindre privilège.

Callum Roxan, responsable de l’information sur les menaces chez WithSecure, l’entreprise nouvellement créée de F-Secure, a ajouté : « Les intrusions très médiatisées de Lapsus$ montrent les défis de la sécurisation des données et des systèmes dans les architectures informatiques modernes. La gestion de l’authentification et de l’autorisation est un défi complexe lorsqu’elle s’étend sur plusieurs plates-formes, technologies et relations avec les fournisseurs.

« L’industrie de la cybersécuritéry n’a certainement pas atteint sa maturité dans la détection de ces attaques. Je m’attendrais à ce que ce type d’attaques continue de la part de Lapsus$ et que plus d’acteurs cherchent à les imiter après avoir vu ce succès. »