Чему нас научили атаки Lapsus$?

В последние месяцы группировка LAPSUS$ взяла на себя ответственность за громкие атаки на ряд крупных технических компаний:

• T-Mobile (23 апреля 2022 года);
• Globant;
• Okta;
• Ubisoft;
• Samsung;
• Nvidia;
• Microsoft;
• Vodafone.

Помимо этих атак, LAPSUS$ также смогла успешно провести атаку на Министерство здравоохранения Бразилии.

Но не громкие кибератаки делают группировку необычной. LAPSUS$ уникальна из-за нескольких моментов.

• Организатор атак и несколько других предполагаемых сообщников были подростками.
• В отличие от более традиционных хакерских групп, занимающихся распространением программ-вымогателей, LAPSUS$ крайне активна в социальных сетях.
• Злоумышленники очень известны из-за своего подхода к эксфильтрации данных. Группировка похищала исходный код, служебную информацию и часто сливала данные в сеть.

Взлом Nvidia – отличный пример эксфильтрации данных группировкой LAPSUS$. Хакеры получили доступ к сотням гигабайт служебных данных, включая информацию о разрабатываемых компанией чипах. Но экспертов намного больше тревожит кража учетных данных тысяч сотрудников Nvidia. Точное количество украденных учетных данных неясно, различные новостные сайты сообщают разные цифры. Однако компании Specops удалось получить около 30 000 паролей, которые были скомпрометированы в результате взлома.

Атаки LAPSUS$ позволяют сделать два важных вывода, на которые компаниям следует обратить внимание.

Первый важный вывод – банды киберпреступников больше не довольствуются обычными шифровальщиками с требованием выкупа за расшифровку данных. Вместо традиционной шифровки данных, LAPSUS$ в большей степени нацелена на кибервымогательство, получая доступ к наиболее ценной интеллектуальной собственности организации и угрожая сливом информации, если не будет выплачен выкуп. Такие атаки могут нанести технологическим компаниям непоправимый ущерб, ведь в результате утечки данных конкуренты получат доступ к исходному коду продукта или данным исследований и разработок.

Несмотря на то, что до сих пор атаки LAPSUS$ были направлены в основном на технологические компании, жертвой такой атаки может стать любая организация. Поэтому все компании должны тщательно продумать способы защиты самых конфиденциальных данных от киберпреступников.

Второй важный вывод – слабые пароли делают компании гораздо более уязвимыми для атак. Слитые учетные данные Nvidia показали, что многие сотрудники использовали очень слабые пароли. Некоторые из этих паролей представляли собой обычные слова (welcome, password, September и т.д.), которые чрезвычайно восприимчивы к атакам по словарю. Многие другие пароли включали название компании как часть пароля (nvidia3d, mynvidia3d и т.д.).Один сотрудник даже использовал в качестве пароля слово Nvidia! Хотя вполне возможно, что злоумышленники использовали первоначальный метод проникновения, но гораздо более вероятно использование хакерами слабых паролей для получения доступа к нужным данным.

Чтобы предотвратить подобную атаку, компаниям стоит начать с установления правил безопасности, требующих длинных и сложных паролей. Также отличным методом защиты является создание пользовательского словаря слов или фраз, которые запрещено использовать в качестве части пароля.

Однако, самый лучший способ предотвратить использование слабых паролей – создание правил, запрещающих пользователям использовать утекшие в интернет пароли. При утечке пароля он хэшируется, и этот хэш обычно добавляется в базу данных хэшей паролей. Если злоумышленник получает хэш пароля, он может просто сравнить его с базой данных хэшей и быстро узнать пароль, не прибегая к трудоемкому перебору или взлому по словарю.

Хотите узнать побольше о группе молодых хакеров? Прочтите наши публикации про их самые громкие атаки на техногигантов.