MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Ce groupe dont on dit généralement qu’il est composé d’adolescents, a explosé sur la scène cyber à la fin de l’année dernière et est devenu l’un des groupes d’extorsion en ligne les plus connus et les plus discutés après avoir réussi à pénétrer dans des entreprises majeures comme Microsoft, Samsung, Ubisoft et Okta.
L’examen approfondi des opérations du groupe LAPSUS$, révèle que les tactiques du groupe, bien qu’effrontées, illogiques et peu sophistiquées, ont tout de même réussi à perturber de grandes entreprises technologiques internationales. Cela nous rappelle qu’aucune organisation n’est vraiment à l’abri des cyberattaques, car toutes les organisations, grandes ou petites, sont des cibles faciles.
Contrairement aux exploitants de ransomwares, le groupe LAPSUS$ représente une race croissante de cybercriminels spécialisés dans l’extorsion, qui se concentrent exclusivement sur le vol de données et l’extorsion en accédant aux victimes par des méthodes classiques comme le phishing et en volant les données les plus sensibles qu’ils peuvent trouver sans déployer de logiciels malveillants de chiffrement des données. Le groupe s’est retrouvé sous le feu des projecteurs lorsqu’il a lancé une attaque contre Nvidia fin février. Avec cette brèche, LAPSUS$ a fait son entrée sur la scène mondiale.
Contrairement à d’autres groupes, LAPSUS$ opère uniquement par le biais d’un groupe Telegram privé et ne gère pas de site de fuite sur le dark web. C’est par le biais de Telegram que le groupe annonce ses victimes, en sollicitant souvent l’avis de la communauté au sens large sur les données de l’organisation à diffuser ensuite. Comparées aux sites standardisés et soignés des groupes de ransomware (comme AvosLocker, LockBit 2.0, Conti, etc.), ces pratiques semblent désorganisées et immatures.
Avec une série de cibles de renom dans son sillage, le groupe LAPSUS$ a gagné en notoriété pour ses tactiques non conventionnelles et ses méthodes erratiques. Les premières attaques ont consisté en un déni de service distribué (DDoS) et en du vandalisme sur des sites Web. Mais, dès le 21 janvier, le groupe LAPSUS$ était déjà engagé dans la violation en plusieurs étapes qui a finalement conduit à l’incident chez Okta. Tout au long de ce processus de maturation, le groupe LAPSUS$ s’est fortement appuyé sur des tactiques classiques telles que l’achat de données d’identification, l’ingénierie sociale des services d’assistance et le spamming d’invites d’authentification multifactorielle (MFA) pour obtenir un accès initial aux organisations cibles.
" Tout comme les ransomwares, les attaques d’extorsion ne disparaîtront pas tant qu’elles ne seront pas rendues trop compliquées ou trop coûteuses à mener, " a déclaré Claire Tills, ingénieur de recherche senior chez Tenable. " Les organisations doivent évaluer les défenses qu’elles ont mises en place contre les tactiques utilisées, comment elles peuvent être renforcées et si leurs playbooks de réponse tiennent effectivement compte de ces incidents. S’il peut sembler facile de minimiser la menace de groupes comme LAPSUS$, leur perturbation de grandes entreprises technologiques internationales nous rappelle que même des tactiques peu sophistiquées peuvent avoir un impact sérieux."
