Connect with us

Technologie

La frénésie de cybercriminalité lapsus$ se poursuit malgré les arrestations

Published

on


Les arrestations de sept personnes en lien avec le groupe de cybercriminalité Lapsus$ par les forces de l’ordre britanniques semblent avoir peu nui à la capacité du gang à mener des cyberattaques de haut niveau, alors qu’une nouvelle violation de données chez la société de logiciels Globant entraîne de nombreux clients importants de la société, notamment Meta, Alphabet et Apple.

Lapsus$, dont il est important de se rappeler qu’il n’est pas un gang de ransomware au sens traditionnel du terme, a pris de l’importance au cours des deux derniers mois grâce à une série d’attaques très médiatisées contre des entreprises technologiques telles que Nvidia, Samsung, Ubisoft, Okta et Microsoft, entraînant une exfiltration de données, une extorsion et une fuite.

L’opération du groupe contre Globant, qui a été fondée en Argentine en 2003 mais est maintenant basée au Luxembourg, aurait vu jusqu’à 70 Go de données clients divulguées. Selon les rapports, la fuite inclut des informations d’identification utilisées par les administrateurs de Globant pour accéder à diverses plates-formes de développement, notamment Confluence, Jira et GitHub.

Le vidage semble également inclure des dossiers de code source relatifs à plusieurs clients Globant, bien que Computer Weekly n’ait pas déterminé la véracité des données.

Globant a confirmé la violation le mercredi 30 mars. Un porte-parole a déclaré: « Nous avons récemment détecté qu’une section limitée du référentiel de code de notre société a fait l’objet d’un accès non autorisé. Nous avons activé nos protocoles de sécurité et menons une enquête exhaustive.

« Selon notre analyse actuelle, l’information consultée était limitée à certains codes sources et à la documentation liée au projet pour un nombre très limité de clients. À ce jour, nous n’avons trouvé aucune preuve que d’autres secteurs de nos systèmes d’infrastructure ou ceux de nos clients aient été touchés. Nous prenons des mesures strictes pour prévenir d’autres incidents. »

Computer Weekly a contacté Alphabet et Meta pour confirmer l’ampleur de la violation, mais aucune des deux organisations n’avait répondu au moment de la rédaction de cet article.

Ambitieux, chaotique, téméraire

Les analystes de Searchlight Security ont suivi Lapsus$ de manière approfondie ces dernières semaines. Ils décrivent le groupe comme une nouvelle génération d’acteurs de la menace: ambitieux et apparemment quelque peu chaotique, et imprudent, dans son organisation et ses attitudes, ainsi que enclin à semer l’animosité dans la clandestinité cybercriminelle.

Ces facteurs semblent correspondre à la capacité apparente du groupe à ignorer et peut-être même à se remettre des opérations policières de la semaine dernière. Un analyste de Searchlight, s’exprimant sous couvert d’anonymat, a déclaré: « Nous surveillons les développements futurs, mais tout ce que je peux dire, c’est qu’il n’est pas surprenant que le groupe ait continué ses piratages à enjeux élevés même après des arrestations à Londres compte tenu de son appartenance internationale probable, ainsi que d’un bassin de talents prêts à l’emploi de pirates informatiques en herbe désireux de gagner le respect dans son groupe Telegram.

« Il est difficile de prédire la prochaine décision des forces de l’ordre, car certains des membres actuellement actifs de Lapsus$ résideraient dans des pays où les lois sur la cybersécurité sont sous-développées, dont l’application est inégale et qui ne sont pas signataires d’accords internationaux sur la cybercriminalité. Des activités de sensibilisation pour la collaboration inter-agences peuvent avoir lieu, ainsi que des efforts pour démanteler l’infrastructure de Lapsus$, ce qui rend plus difficile pour eux de mener des attaques », ont-ils déclaré.

Compte tenu de sa dernière activité et de ses antécédents de violations de tiers tels que Sitel, qu’il a utilisés pour se rendre à Okta, le groupe est clairement conscient de la façon dont le monde de l’entreprise semble avoir du mal avec la sécurité de la chaîne d’approvisionnement, donnant aux équipes de sécurité et aux gestionnaires de risques un nouvel élan si nécessaire pour résoudre ces problèmes.

Joseph Carson, scientifique en chef de la sécurité chez Delinea, une société de cybersécurité nouvellement créée comprenant ses prédécesseurs Thycotic et Centrify, a déclaré que la violation de Globant montrait que la sécurité de toute organisation n’était aussi bonne que celle de l’entreprise qu’elle conserve.

« Pour les grandes organisations, c’est leur chaîne d’approvisionnement », a-t-il déclaré. « Lapsus$ semble s’être attaqué aux grandes organisations de la chaîne d’approvisionnement et a montré qu’aucune organisation n’a une protection à 100%, ce qui signifie qu’il s’agit de réduire les risques et de détecter rapidement. La technique qui semble être utilisée par Lapsus$ est de s’attaquer aux utilisateurs privilégiés, ce qui devrait être une priorité absolue à protéger, et je recommande fortement aux organisations d’appliquer le principe du moindre privilège.

Callum Roxan, responsable de l’information sur les menaces chez WithSecure, l’entreprise nouvellement créée de F-Secure, a ajouté : « Les intrusions très médiatisées de Lapsus$ montrent les défis de la sécurisation des données et des systèmes dans les architectures informatiques modernes. La gestion de l’authentification et de l’autorisation est un défi complexe lorsqu’elle s’étend sur plusieurs plates-formes, technologies et relations avec les fournisseurs.

« L’industrie de la cybersécuritéry n’a certainement pas atteint sa maturité dans la détection de ces attaques. Je m’attendrais à ce que ce type d’attaques continue de la part de Lapsus$ et que plus d’acteurs cherchent à les imiter après avoir vu ce succès. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance