La police de Londres arrête sept personnes en lien avec Lapsus

La police de la ville de Londres a annoncé avoir arrêté sept adolescents pour leurs liens présumés avec le groupe de pirates Informatiques Lapsus$.

Le groupe a mené des campagnes d’extorsion au Royaume-Uni et en Amérique du Sud, et s’est maintenant étendu à des cibles mondiales, y compris des organisations dans les domaines du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et de la santé.

Il a pris la responsabilité d’un certain nombre de violations de sécurité très médiatisées dans des entreprises technologiques, notamment Nvidia, Samsung, Ubisoft, Okta et Microsoft.

« Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre d’une enquête sur un groupe de piratage. Ils ont tous été relâchés dans le cadre d’une enquête. Nos enquêtes sont toujours en cours », a déclaré la police de la ville de Londres.

Le 23 mars, Bloomberg a rapporté qu’un adolescent de 16 ans d’Oxford, qui utilise les pseudonymes en ligne « White » et « Breachbase », était le cerveau du groupe, bien que la police de la ville de Londres n’ait pas commenté s’il était l’une des personnes arrêtées.

Le rapport de Bloomberg a également déclaré que les chercheurs « n’ont pas été en mesure de le lier de manière concluante à chaque piratage revendiqué par Lapsus$ », mais a ajouté qu’ils suivaient « White » depuis près d’un an grâce à une piste d’activité liée aux comptes en ligne de l’adolescent.

« Nous l’avons fait en regardant l’historique des publications d’un compte et en voyant des publications plus anciennes fournir les coordonnées du gars », a déclaré Allison Nixon, directrice de la recherche à la société d’enquêtes sur la cybersécurité Unit 221B.

Le père de l’adolescent a déclaré à la BBC: « Je n’avais jamais entendu parler de tout cela jusqu’à récemment. Il n’a jamais parlé de piratage, mais il est très bon sur les ordinateurs et passe beaucoup de temps sur l’ordinateur. J’ai toujours pensé qu’il jouait à des jeux. »

Bien que certains chercheurs aient qualifié Lapsus$ de gang de ransomware, l’unité 42 de Palo Alto (qui a travaillé avec l’unité 221B pour suivre « White ») a noté dans un article de blog que le groupe était remarquable pour ne pas utiliser de ransomware dans ses tentatives d’extorsion.

« Dans l’environnement actuel, les acteurs de la menace favorisent l’utilisation de ransomwares pour crypter les données et les systèmes et extorquent souvent aux victimes des quantités importantes de crypto-monnaie en échange de clés de décryptage, augmentant parfois la pression avec la menace de publier des données volées. Lapsus$, cependant, est inhabituel dans son approche – pour ce groupe, la notoriété semble le plus souvent être l’objectif, plutôt que le gain financier », a-t-il déclaré, ajoutant que l’Unité 42 a aidé un certain nombre d’organisations à répondre à de multiples attaques lapsus$.

« Le groupe Lapsus$ n’utilise pas de logiciels malveillants dans les environnements victimes violés, ne chiffre pas les données et, dans la plupart des cas, n’utilise pas réellement l’extorsion. Ils se concentrent sur l’utilisation d’une combinaison de titres de compétences volés et d’ingénierie sociale pour accéder aux victimes. Nous les avons également vus solliciter des employés sur Telegram pour leurs identifiants de connexion dans des entreprises spécifiques dans des secteurs tels que les télécommunications, les logiciels, les jeux, les fournisseurs d’hébergement et les centres d’appels.

La société de cybersécurité Check Point est arrivée à des conclusions similaires dans son propre article de blog, mais a ajouté que Lapsus$ maintient un « groupe Telegram très actif » avec plus de 35 000 abonnés, où il publie des sondages interactifs sur qui devrait être sa prochaine cible.

L’unité 42 a ajouté que même sans ransomware, les attaques du groupe ont été très dommageables, avec des attaques destructrices où l’acteur de la menace a eu accès aux environnements cloud, a effacé les systèmes et détruit plus de 1 000 machines virtuelles.

L’unité 42 a également déclaré que la « diversité des techniques » du groupe signifie qu’il n’y a pas de défense unique contre ses attaques, mais l’ajout d’une architecture réseau zero-trust et d’une bonne hygiène de sécurité était la meilleure option.

« Si Lapsus$ a acheté des informations d’identification pour un réseau, ils peuvent fonctionner efficacement comme une menace interne, en profitant des mêmes privilèges que l’employé a à l’intérieur du réseau », a-t-il déclaré.

« Concentrez-vous sur les meilleures pratiques générales en matière de sécurité de l’information : authentification multifacteur, contrôles d’accès et segmentation du réseau. Assurez-vous que votre organisation a la capacité de détecter les activités anormales, y compris les activités impliquant des tiers de confiance dans vos environnements, et protégez-vous contre les techniques non techniques telles que le vishing et l’échange de cartes SIM.

« La correction des systèmes internes qui pourraient prendre en charge les mouvements latéraux et l’escalade des privilèges devrait être une priorité, ainsi que contre les exploits publics connus que ces acteurs pourraient utiliser. »