Jump to content

Падать

Падать
Формирование 2021
Основатель Арион Куртас
Тип киберпреступников Банда
Штаб-квартира Неизвестный
Область
Международный
Методы Целенаправленный фишинг , подмена SIM-карт , вербовка сообщников через социальные сети, вымогательство , взлом
Членство
7 (оценка на март 2022 г.)
Официальный язык
Английский
Принадлежности Неизвестный

Lapsus$ , стилизованный под LAPSUS$ и классифицированный Microsoft как Strawberry Tempest , [1] это международная организация, вымогательство ориентированная на [2] хакерская группа, известная своими различными кибератаками на компании и государственные учреждения. [3] [4] Группа действовала в нескольких странах, а в 2022 году ее члены были арестованы в Бразилии и Великобритании. [5] По данным полиции лондонского Сити, как минимум двое из участников были подростками.

Lapsus$ использует различные векторы атак, включая социальную инженерию , усталость MFA , замену SIM-карты , [6] и ориентация на поставщиков. После того как группа получила учетные данные привилегированного сотрудника целевой организации, она пытается получить конфиденциальные данные различными способами, в том числе с помощью инструментов удаленного рабочего стола . Далее следуют попытки вымогательства. Первоначально приложение для обмена сообщениями Telegram использовалось для общения с общественностью, включая вербовку и публикацию конфиденциальных данных жертв. [7]

Первая крупная кибератака, приписываемая Lapsus$, была совершена против компьютерных систем Министерства здравоохранения Бразилии в декабре 2021 года. [8] Lapsus$ получил известность благодаря серии кибератак против крупных технологических компаний, включая Microsoft , Nvidia и Samsung . После этих нападений полиция лондонского Сити объявила, что она произвела семь арестов в связи с полицейским расследованием дела Lapsus$. [9] Хотя к апрелю 2022 года группа считалась неактивной, предполагается, что она вновь появилась в сентябре 2022 года, совершив серию утечек данных против различных крупных компаний через аналогичный вектор атаки, включая Uber и Rockstar Games , с последующими повторными арестами со стороны Полиция лондонского Сити и полиция Бразилии. [5] Похоже, что после сентября 2022 года группа стала неактивной, а ее участники, возможно, разошлись по другим группам. [5] и осуждение двух британских членов. [10] Один из членов-основателей группировки, Арион Куртадж, получил приказ оставаться на неопределенный срок в психиатрическом учреждении строгого режима . [11]

Атаки

[ редактировать ]

Министерство здравоохранения Бразилии (2021 г.)

[ редактировать ]

Бразилии Первая известная кибератака, совершенная Lapsus$, была совершена против Министерства здравоохранения . Сайт Минздрава был закрыт в пятницу, 10 декабря, около часа ночи. Lapsus$ оставил сообщение «Свяжитесь с нами, если хотите вернуть свои данные», а также свой Telegram и адреса электронной почты на главной странице сайта министерства. [8] после эксфильтрации и удаления 50 ТБ данных на внутренних серверах. К полудню пятницы сообщение было удалено, но веб-сайт и пользовательские данные в приложении ConecteSUS, которое предоставляет бразильцам сертификаты о вакцинации против COVID, остались недоступными, что создавало неудобства для путешественников. [12]

Окта (2022)

[ редактировать ]

21 января 2022 года Lapsus$ получил доступ к серверам компании по управлению идентификацией и доступом Okta через скомпрометированную учетную запись стороннего инженера службы поддержки клиентов. Okta подтвердила нарушение 25 января 2022 года. [13] [14] Основываясь на окончательном отчете судебно-медицинской экспертизы, директор службы безопасности Okta Дэвид Брэдбери заявил, что атака затронула только двух активных клиентов. Okta начала расследование заявлений о взломе после того, как Lapsus$ поделился скриншотами в канале Telegram, подразумевая, что они взломали сети клиентов Okta. Первоначально Окта заявил, что хакер Lapsus$ получил доступ к удаленному рабочему столу ( RDP ) к ноутбуку инженера службы поддержки Sitel в течение « пятидневного окна » с 16 по 21 января.

Нвидиа (2022 г.)

[ редактировать ]

23 февраля 2022 года технологической компании Nvidia стало известно о взломе ее систем. Lapsus$ заявил, что располагает терабайтом данных от Nvidia, и пригрозил выпустить «полные файлы кремния, графики и компьютерных чипсетов для всех последних графических процессоров NVIDIA, включая RTX 3090Ti и будущие версии», если Nvidia не откроет исходный код своих процессоров. драйверы устройств . [15] [3] 3 марта в Интернете появились учетные данные более 71 000 сотрудников Nvidia. [16]

Самсунг (2022 г.)

[ редактировать ]

4 марта 2022 года Lapsus$ опубликовал торрент объемом 190 ГБ для внутренних данных, принадлежащих производителю телефонов Samsung , включая исходный код линейки телефонов Samsung Galaxy . Через три дня Samsung подтвердила факт нарушения. [17]

Свободный рынок (2022)

[ редактировать ]

8 марта 2022 года аргентинская компания электронной коммерции Mercado Libre подтвердила, что Lapsus$ получила доступ к пользовательским данным 300 000 клиентов; группа также утверждала, что имеет доступ к 24 000 репозиториям, принадлежащим Mercado Libre. [18]

Юбисофт (2022)

[ редактировать ]

10 марта 2022 года игровая компания Ubisoft подтвердила, что у нее произошел «инцидент кибербезопасности», хотя доступ к пользовательским данным не осуществлялся. [19]

Т-Мобайл (2022)

[ редактировать ]

17 марта 2022 года Lapsus$ получил доступ к учетной записи сотрудника телекоммуникационной компании T-Mobile . Видный член Lapsus$ под псевдонимом «Уайт» безуспешно пытался получить доступ к аккаунтам T-Mobile Федерального бюро расследований и Министерства обороны США . Однако Lapsus$ смог получить репозитории исходного кода, принадлежащие T-Mobile. [20]

Майкрософт (2022 г.)

[ редактировать ]

скриншот Microsoft технологической компании сервера Azure DevOps 20 марта 2022 года компания Lapsus$ опубликовала на своем канале Telegram . На следующий день группа выпустила zip-файл размером 37 ГБ, содержащий, среди прочего, «90% исходного кода поисковой системы Bing ». [21] [22] [23] [24]

Они летят (2022)

[ редактировать ]

30 марта 2022 года люксембургская ИТ-компания Globant подтвердила, что ее сеть была взломана Lapsus$. [25]

Убер (2022)

[ редактировать ]

15 сентября 2022 года Uber объявил, что его взломал Lapsus$. [26]

Игры Рокзвезд (2022, 2023)

[ редактировать ]
См. Также: Утечка Grand Theft Auto VI § за сентябрь 2022 г.

появилось 90 игровых видеороликов, касающихся Grand Theft Auto VI 18 сентября 2022 года на GTAForums . [27] Предполагается, что хакер был связан с Lapsus$. [28] 25 декабря 2023 года сообщалось об утечке дополнительного контента, полученного в результате взлома годом ранее, включая игровые файлы для запланированного продолжения Bully , код Python для Grand Theft Auto VI и полный исходный код Grand Theft Auto. V, в котором содержались намеки на запланированный контент DLC для игры. [29]

Взаимодействия

[ редактировать ]

Группа использовала приложение для обмена сообщениями Telegram , а Telegram-канал Lapsus$ использовался для объявления о сбросе данных и вербовки сообщников. По состоянию на март 2022 года у него около 50 000 подписчиков. [7] Группа опубликовала опросы относительно того, на какую организацию ей следует нацелиться в следующий раз. [30]

ФБР обратилось с запросом информации 21 марта 2022 года. [31]

Состав

[ редактировать ]

Согласно обвинительному заключению, вдохновителем группы был Арион Куртадж, 16-летний подросток, проживающий в Оксфорде , Англия, а еще один основной член группы был подростком из Бразилии. [32] [33] [34] В отчете Bloomberg говорится, что группа состоит из семи участников и, вероятно, была сформирована недавно. [35] [32]

Аресты и осуждения

[ редактировать ]

24 марта 2022 года семь человек в возрасте от 16 до 21 года были арестованы полицией лондонского Сити в связи с полицейским расследованием дела Lapsus$. Арион Куртадж, известный член группы под псевдонимом Уайт, был арестован в Оксфорде, Англия. Его личность предположительно ранее была раскрыта бывшим сотрудником, и, различные группы, включая исследовательскую группу Unit 221B . как сообщается, его опознали [36] 1 апреля 2022 года известному участнику были предъявлены обвинения вместе с 17-летним подростком. [37] [33] Психиатры признали его непригодным к суду. [34] но 7-недельное судебное дело продолжалось до августа 2023 года, в результате чего и 17-летний парень, и известный участник были осуждены. [10] Куртадж получил приказ оставаться на неопределенный срок в психиатрической лечебнице строгого режима . [11]

19 октября 2022 года гражданин Бразилии, предположительно являвшийся членом Lapsus$, был арестован полицией в Фейра-де-Сантана , штат Баия , и впоследствии обвинен в атаках на Министерство здравоохранения Бразилии и других киберпреступлениях после операции «Темное облако». Lapsus$ также атаковал десятки других органов и организаций федерального правительства Бразилии, включая Министерство экономики, Генерального контролера Союза и Федеральную дорожную полицию. [38] [39] Данные кажутся удаленными навсегда. [ нужна ссылка ]

Анализ

[ редактировать ]

группы Предполагаемый образ действий был основан на получении доступа к корпоративной сети организации-жертвы путем получения учетных данных от привилегированных сотрудников. Эти полномочия были получены различными способами, включая набор персонала [40] или взлом привилегированных сотрудников с использованием таких методов, как подмена SIM-карты . [7] Затем Lapsus$ использовал удаленный рабочий стол или доступ к сети для получения конфиденциальных данных, таких как данные учетной записи клиента или исходный код. Затем группа вымогала у организации-жертвы угрозы раскрыть данные. [23] В примечательных случаях данные впоследствии публиковались, а информация размещалась в Telegram.

Lapsus$ использовал тактику социальной инженерии , известную как атака усталости многофакторной аутентификации, во время взлома Uber. [41] [42] [43]

Методы, используемые Lapsus$, стали предметом проверки Совета по кибербезопасности США в середине 2023 года. [5]

Ссылки

[ редактировать ]
  1. ^ «DEV-0537 Преступник, нацеленный на организации с целью кражи и уничтожения данных» . Блог Microsoft по безопасности . 22 марта 2022 г. Проверено 24 марта 2022 г.
  2. ^ «Защита от нападений» . Инсайдер безопасности . Безопасность Майкрософт . 22 августа 2022 г. Проверено 8 октября 2022 г.
  3. ^ Jump up to: а б Гудин, Дэн (4 марта 2022 г.). «Киберпреступники, взломавшие Nvidia, выдвигают одно из самых необычных требований за всю историю» . Арс Техника . Проверено 14 марта 2022 г.
  4. ^ Уиндер, Дэйви (8 марта 2022 г.). «Samsung подтверждает масштабный взлом Galaxy после того, как через Telegram был передан 190 ГБ данных» . Форбс . Проверено 14 марта 2022 г.
  5. ^ Jump up to: а б с д «Обзор атак, связанных с Lapsus$ и связанными с ними группами угроз» (PDF) . CISA.Gov . Совет по обзору кибербезопасности правительства США. Архивировано (PDF) из оригинала 10 августа 2023 года . Проверено 11 августа 2023 г.
  6. ^ Гудин, Дэн (18 ноября 2023 г.). «Федеральная комиссия по связи утверждает, что новые правила будут ограничивать замену SIM-карт. Я настроен пессимистично» . Арс Техника . Проверено 19 ноября 2023 г.
  7. ^ Jump up to: а б с Кребс, Брайан (23 марта 2022 г.). «Более пристальный взгляд на группу по вымогательству данных LAPSUS$» . Кребс о безопасности . Проверено 24 марта 2022 г.
  8. ^ Jump up to: а б «Хакеры атаковали веб-сайт министерства здравоохранения Бразилии, целью которого стали данные о вакцинации» . Рейтер . 11 декабря 2021 г. Проверено 24 марта 2022 г.
  9. ^ Питерс, Джей (24 марта 2022 г.). «Семь подростков арестованы в связи с хакерской группой Lapsus$» .
  10. ^ Jump up to: а б «Lapsus$: Суд установил, что подростки занимались хакерской деятельностью» . Новости Би-би-си . 23 августа 2023 г. Проверено 23 августа 2023 г.
  11. ^ Jump up to: а б «Lapsus$: хакеру GTA 6 выписали госпиталь на неопределенный срок» . Новости Би-би-си . 21 декабря 2023 г.
  12. ^ Мари, Анжелика (10 декабря 2021 г.), «Министерство здравоохранения Бразилии подверглось кибератаке, и данные о вакцинации против COVID-19 исчезли» , ZDNET , получено 27 декабря 2023 г.
  13. ^ Портер, Джон (22 марта 2022 г.). «Взлом Okta ставит тысячи предприятий в состояние повышенной готовности» . Грань . Проверено 22 марта 2022 г.
  14. ^ Ньюман, Лили Хэй (28 марта 2022 г.). «Утечка подробностей о взломе Lapsus$ делает медленную реакцию Okta еще более странной» . Проводной . Проверено 1 апреля 2022 г.
  15. ^ Кларк, Митчелл (1 марта 2022 г.). «Nvidia заявляет, что хакеры слили ее «частную информацию»» . Грань .
  16. ^ Гатлан, Сергей (3 марта 2022 г.). «Утечка данных NVIDIA привела к раскрытию учетных данных более 71 000 сотрудников» . Мигающий компьютер . Проверено 21 сентября 2022 г.
  17. ^ Гловер, Клаудия (7 марта 2022 г.). «Нацеливается ли Lapsus$ на крупные технологические компании после взлома Samsung?» . Технический монитор . Проверено 14 марта 2022 г.
  18. ^ Шарма, Акс. «Гигант электронной коммерции Mercado Libre подтверждает утечку данных исходного кода» . Мигающий компьютер . Проверено 23 марта 2022 г.
  19. ^ Питерс, Джей (11 марта 2022 г.). «Ubisoft заявляет, что произошел «инцидент кибербезопасности», и предполагаемые хакеры Nvidia берут на себя ответственность» . Грань . Проверено 14 марта 2022 г.
  20. ^ Кребс, Брайан (22 апреля 2022 г.). «Утечка чатов показывает, что LAPSUS$ украл исходный код T-Mobile» . Кребс о безопасности . Проверено 22 апреля 2022 г.
  21. ^ Кокс, Джозеф (21 марта 2022 г.). «Microsoft расследует заявление о нарушении со стороны банды вымогателей» . Материнская плата . Порок . Проверено 21 марта 2022 г.
  22. ^ Кларк, Митчелл; Лоулер, Ричард; Питерс, Джей (22 марта 2022 г.). «Microsoft подтверждает, что хакеры Lapsus$ украли исходный код через «ограниченный» доступ» . Грань . Вокс Медиа . Проверено 22 марта 2022 г.
  23. ^ Jump up to: а б Абрамс, Лоуренс. «Хакеры Lapsus$ слили 37 ГБ предполагаемого исходного кода Microsoft» . Мигающий компьютер . Проверено 23 марта 2022 г.
  24. ^ Ньюман, Лили Хэй (22 марта 2022 г.). « Это действительно очень плохо»: банда Lapsus$ утверждает, что Okta Hack» . Проводной . Проверено 23 марта 2022 г.
  25. ^ Гудин, Дэн (30 марта 2022 г.). «ИТ-гигант Globant раскрывает информацию о взломе после утечки Lapsus$ 70 ГБ украденных данных» . Арс Техника . Проверено 31 марта 2022 г.
  26. ^ «Uber заявляет, что за взлом ответственен хакер, связанный с Lapsus$» . Рейтер . 17 сентября 2023 г. Проверено 17 сентября 2023 г.
  27. ^ Кан, Майкл (20 сентября 2022 г.). «Uber винит в недавнем взломе хакерскую группу LAPSUS$» . PCMag . Зифф Дэвис . Архивировано из оригинала 19 сентября 2022 года . Проверено 19 сентября 2022 г.
  28. ^ Робинсон, Энди (19 сентября 2022 г.). «Uber «в контакте с ФБР» по поводу потенциального хакера GTA 6» . Хроника видеоигр . Геймерская сеть . Архивировано из оригинала 19 сентября 2022 года . Проверено 20 сентября 2022 г.
  29. ^ Армугануддин, Мэриленд (25 декабря 2023 г.). «Слух: исходный код GTA 5 и другие файлы Rockstar просочились в сеть» . Игра Рэнт . Проверено 26 декабря 2023 г.
  30. ^ Ньюман, Лили Хэй (15 марта 2022 г.). «Хакерская группа Lapsus$ начала хаотичный старт» . Проводной .
  31. ^ «Самые разыскиваемые: LAPSUS$» . www.fbi.gov . 21 марта 2022 года. Архивировано из оригинала 3 апреля 2022 года . Проверено 5 апреля 2022 г.
  32. ^ Jump up to: а б Тертон, Уильям; Робертсон, Джордан (23 марта 2022 г.). «Подросток, которого киберисследователи подозревают в том, что он является вдохновителем Lapsus$» . Блумберг . Проверено 23 марта 2022 г.
  33. ^ Jump up to: а б «16-летний подросток, живущий со своей мамой, является вдохновителем взлома Lapsus$ Microsoft, говорят кибердетективы» . Удача . Архивировано из оригинала 1 августа 2022 года . Проверено 8 октября 2022 г.
  34. ^ Jump up to: а б Тобин, Сэм (11 июля 2023 г.). «Подросток взломал Uber, Revolut и производителя Grand Theft Auto, заслушивает лондонский суд» . Рейтер . Проверено 17 июля 2023 г.
  35. ^ Берт, Джефф (17 марта 2022 г.). «Банда Lapsus$ посылает тревожный сигнал потенциальным преступникам» . www.theregister.com .
  36. ^ «Lapsus$: подростка из Оксфорда обвиняют в том, что он киберпреступник-мультимиллионер» . Новости Би-би-си . 24 марта 2022 г. Проверено 25 марта 2022 г.
  37. ^ «Lapsus$: Двое британских подростков обвинены в хакерстве в интересах банды» . Новости Би-би-си . 1 апреля 2022 г.
  38. ^ «ПФ арестовывает бразильца, подозреваемого в интеграции в международную преступную организацию», gov.br (на бразильском португальском языке), 19 октября 2022 г. , дата обращения 27 декабря 2023 г.
  39. ^ Гатлан, Серджиу (19 октября 2022 г.), «В Бразилии арестован подозреваемый, предположительно член банды Lapsus$» , BleepingComputer , получено 27 декабря 2023 г.
  40. ^ Паганини, Пьерлуиджи (11 марта 2022 г.). «Группа Lapsus$ Ransomware набирает сотрудников и объявила о наборе инсайдеров» . Дела безопасности . Проверено 23 марта 2022 г.
  41. ^ «Усталость МИД: новая любимая тактика хакеров при громких взломах» . Мигающий компьютер . Проверено 20 сентября 2022 г.
  42. ^ Уиттакер, Зак (19 сентября 2022 г.). «Как остановить очередной взлом Uber?» . ТехКранч . Проверено 20 сентября 2022 г.
  43. ^ Гудин, Дэн (11 августа 2023 г.). «Как подростки, ищущие славы, взломали некоторые из крупнейших объектов в мире» . Арс Техника . Проверено 11 августа 2023 г.
[ редактировать ]


Retrieved from "https://en.wikipedia.org/w/index.php?title=Lapsus$&oldid=1235597273"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 8bc98de6a931d2e8bfd113dbdd5f2071__1721438700
URL1:https://arc.ask3.ru/arc/aa/8b/71/8bc98de6a931d2e8bfd113dbdd5f2071.html
Заголовок, (Title) документа по адресу, URL1:
Lapsus$ - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)