Lapsus$ Group: la minaccia fuori dagli schemi

Lapsus$ Group è cresciuto in pochi mesi. Questo attore di minacce è passato da pochi attacchi distruttivi al furto e pubblicazione del codice sorgente di numerose aziende tecnologiche di alto livello.
A riportarlo Palo Alto Networks che sottolinea: “Nonostante a volte nei reports venga definito semplicemente come un gruppo ransomware, Lapsus$ si distingue per non distribuire ransomware nei suoi tentativi di estorsione. Nell’ambiente attuale, gli attori delle minacce preferiscono usare il ransomware per crittografare dati e sistemi e spesso estorcono alle vittime quantità significative di criptovalute in cambio delle chiavi di decrittazione, a volte aumentando la pressione con la minaccia di pubblicare le informazioni rubate. Lapsus$, tuttavia, ha un approccio insolito e fuori dagli schemi: per questo gruppo, l’obiettivo sembra essere diventato sempre più spesso la notorietà e non il guadagno finanziario”.

LAPSUS$ GROUP: QUANDO IL FINE NON È L’ESTORSIONE

“Il gruppo Lapsus$ non utilizza malware negli ambienti delle vittime violate – spiegano da Palo Alto – non crittografa i dati e, nella maggior parte dei casi, non sfrutta l’estorsione. Si concentra sull’utilizzo di una combinazione di credenziali rubate e di ingegneria sociale per ottenere l’accesso.

Tuttavia, gli attacchi del gruppo e la sottrazione di dati anche senza estorsione possono essere molto dannosi. Inoltre, sono stati osservati attacchi distruttivi di Lapsus$ in cui gli attori hanno avuto accesso all’ambiente cloud di un’organizzazione, cancellato i sistemi e distrutto più di mille macchine virtuali.

Nonostante non ci siano indicatori pubblici di compromissione, né tattiche, tecniche e procedure uniche per Lapsus$ Group, ci sono dettagli che possono consentire ai difensori di comprendere e mitigarne la minaccia”.