Impudent, peu sophistiqué et illogique : comprendre le groupe d'extorsion LAPSUS$

Après avoir attiré l'attention de tout le secteur pendant les premiers mois de 2022, le groupe de pirates informatiques LAPSUS$ fait profil bas. Que pouvons-nous apprendre de l'histoire et des tactiques de ce groupe d'extorsion ?

Début 2022, le groupe LAPSUS$ s'est fait remarquer par ses attaques retentissantes aux effets perturbateurs. Bien qu'il soit parfois associé aux groupes de ransomware, LAPSUS$ est un groupe d'extorsion. En quoi est-il différent des groupes de ransomware professionnels établis, et quelles leçons les entreprises peuvent-elles tirer de ses tactiques pour améliorer leurs défenses ?

LAPSUS$ a fait des remous début 2022, mais ses actions se sont transformées en vaguelettes à côté des raz de marée provoqués par des groupes plus établis tels que Conti. La courte présence de LAPSUS$ à la une de l'actualité sur la cyber-sécurité a été noyée par ses idiosyncrasies et ses erreurs manifestes.

Source : Tenable Research, juillet 2022

Ransomware ou extorsion ?

J'ai remarqué que LAPSUS$ était un groupe d'extorsion, et pas de ransomware. Je suis donc volontairement précise dans la définition de ransomware. Si certains cas d'extorsion comprennent le vol de données à des entreprises, puis leur restitution en l'échange d'une rançon, les attaques par ransomware font spécifiquement référence aux incidents où des malwares de chiffrement des données (ransomwares) sont déployés et l'accès à ces systèmes restitué aux entreprises cibles contre le paiement d'une rançon.

Au fil des années, les groupes de ransomware ont adopté diverses tactiques d'extorsion. Pour en savoir plus sur ces tactiques et d'autres fonctionnalités essentielles de l'écosystème des ransomwares, lisez le rapport de Tenable. Les groupes d'extorsion tels que LAPSUS$ se concentrent sur le vol opportuniste de données et la menace de les communiquer publiquement. Occasionnellement, ces groupes suppriment également les données originales.

Cette distinction étant établie, examinons l'un des noms du marché de l'extorsion qui ressort souvent en ce moment : le groupe LAPSUS$.

Qui se cache derrière le groupe LAPSUS$ ?

S'il est vrai que le groupe LAPSUS$ n'est pas le seul à se concentrer exclusivement sur les attaques d'extorsion, il a fait une entrée retentissante fin 2021 et a placé ce type de groupe de menace sur les devants de la scène.

LAPSUS$ a officiellement commencé à opérer en décembre 2021, en lançant des attaques contre des entreprises sud-américaines, et a poursuivi sur sa lancée en janvier, ciblant cette fois l'Amérique du Sud et le Portugal, probablement en raison de la localisation de certains membres du groupe. (Si la violation initiale de Sitel et la compromission ultérieure d'Okta ont eu lieu fin janvier, elles n'ont été divulguées que deux mois plus tard). Au cours des mois qui ont suivi, LAPSUS$ a élargi sa cible à des multinationales du secteur des technologies. Des actions qui ont placé le groupe sous les projecteurs de toute la communauté de la cyber-sécurité.

Le groupe LAPSUS$ communique exclusivement via un groupe Telegram privé et ne gère pas de site de fuite sur le Dark Web, comme le font d'autres groupes d'attaque, ce qui réduit les données disponibles pour l'analyse. Néanmoins, de nombreux analystes de la sécurité, chercheurs et journalistes ont examiné les informations disponibles et ont ainsi découvert certaines caractéristiques et tactiques du groupe.

Ces analyses ont notamment révélé les trois axes communs suivants :

• Tactiques et comportements moins matures
• Priorité accordée à l'influence et à la notoriété
• Intérêt marqué pour les objectifs monétaires

La transition opérée par le groupe : du ciblage d'entreprises d'Amérique du Sud au ciblage d'entreprises ayant une zone d'influence bien plus vaste ou d'« entreprises technologiques internationales de grande envergure, semble étayer la théorie de la recherche de notoriété et de l'appât du gain », comme le souligne Flashpoint dans son analyse. Cibler ces entreprises pouvait, en théorie, assurer aux cybercriminels des bénéfices plus importants et ce choix a manifestement assis leur notoriété.

Comme de nombreux analystes l'ont fait remarquer, il est difficile d'attribuer avec certitude un objectif strict et unique ou, à l'inverse, une absence d'objectif, à pareil « collectif informel ». LAPSUS$ a fait valoir avec véhémence que ses motivations n'étaient pas politiques et que le groupe n'était pas financé par un État, et ses actions semblent être cohérentes avec cette affirmation.

Si les groupes de ransomware comme Conti sont des organisations bien ficelées, rappelant les groupes criminels représentés dans des séries TV et des films tels que Boardwalk Empire ou Le Parrain, LAPSUS$ correspond plutôt aux équipes de Point Break ou de Bottle Rocket. Les analystes sont nombreux à dire que le groupe est immature et impulsif, allant jusqu'à comparer ses membres au stéréotype de l'adolescent « geek » ou à des apprentis pirates.

Bien qu'en règle générale, il ne soit pas évident d'identifier les membres individuels d'un groupe cybercriminel, des enquêteurs et les forces de l'ordre sont parvenus à relier les opérations de LAPSUS$ à un petit groupe d'adolescents au Brésil et au Royaume-Uni. L'identification du groupe, les arrestations qui ont suivi et le mutisme apparent de ses membres semblent concorder avec l'analyse selon laquelle le groupe est composé d'auteurs « talentueux, mais novices » qui sont « imprudents et perturbateurs ». Ces traits de caractère ressortent dans les tactiques et les comportements observés dans le groupe. Examinons-le de plus près.

Comment LAPSUS$ opère-t-il ?

Le groupe LAPSUS$, dont la durée de vie fut probablement brève, compte tenu des dernières découvertes, a tout de même fait preuve de maturité. Son parcours n'a pas été linéaire, ce qui confirme la théorie de la nature informelle du collectif. Avec le temps, le groupe LAPSUS$ a opéré des changements opportunistes dans ses tactiques et priorités d'attaque, passant du vol traditionnel de données clients au vol d'informations protégées et de codes sources.

D'un point de vue tactique, les premières attaques étaient de type DDoS (Distributed Denial of Service) et consistaient en du vandalisme de site web. Mais dès janvier 2021, le groupe LAPSUS$ participait aux opérations de piratage à plusieurs niveaux qui ont fini par mener à l'incident de sécurité subi par Okta. Au fil du temps, le groupe LAPSUS$ s'est largement appuyé sur des tactiques qui ont fait leurs preuves, comme l'achat d'informations d'authentification volées, les attaques par ingénierie sociale sur les services d'assistance et par spamming via l'authentification multifactorielle (MFA) pour obtenir un premier accès aux entreprises cibles.

D'après Microsoft et NCC Group, lui-même victime de LAPSUS$, voici les principales tactiques, techniques et procédures employées par le groupe LAPSUS$ :

• Accès initial via des référentiels d'identifiants achetés ou publics, via le vol de mots de passe et la corruption d'employés
• Contournement de l'authentification multifactorielle via l'envoi d'invites indésirables ou contact avec le service d'assistance
• Accès à des applications connectées à Internet (réseaux privés virtuels, Microsoft SharePoint, bureaux virtuels, etc.) afin de collecter des informations d'authentification supplémentaires et d'accéder à des informations sensibles.
• Élévation de privilèges via l'exploitation des vulnérabilités non corrigées dans Jira, GitLab et Confluence et l'énumération des utilisateurs avec Active Directory Explorer
• Exfiltration de données via NordVPN ou des services gratuits de dépôt de fichier, puis suppression des ressources
• Utilisation de l'accès aux environnements cloud de la cible pour construire une infrastructure d'attaque et retirer tous les autres administrateurs globaux

Comme je l'ai indiqué plus haut, LAPSUS$ est différent des autres groupes de menace dans le domaine de l'extorsion et du ransomware : il n'exploite pas un site de fuite. Le groupe utilise exclusivement son canal Telegram pour annoncer le nom de ses victimes, invitant souvent l'ensemble de la communauté à voter pour la prochaine entreprise dont il divulguera les données. En comparaison avec les sites lisses et « normalisés » des groupes de ransomware (comme AvosLocker, LockBit 2.0, Conti, etc.), ses pratiques semblent désorganisées et immatures.

Site de fuite d'AvosLocker, source de l'image : Tenable, mai 2022

De prime abord, le choix de voler du code source et des informations protégées pourrait être considéré comme une stratégie visant à obtenir des sommes d'argent plus importantes, mais LAPSUS$ a exploité ces vols de façon surprenante. Pour ce qui est des données Nvidia, LAPSUS$ a également divulgué un certificat de signature de code qui a permis à des auteurs d'attaques par malware d'utiliser librement ce certificat pour introduire leurs produits dans des environnements cibles et les faire passer pour des programmes officiels de Nvidia. LAPSUS$ a réussi à dérober de précieuses informations à Nvidia, mais n'a pas été intéressé ni capable d'en tirer profit. Le groupe ne semblait pas savoir précisément quelles données avaient de la valeur. Les données volées à Microsoft « n'entraînent aucune élévation du risque » et Samsung « ne prévoit pas d'impact pour son entreprise ou ses clients ».

D'ailleurs, LAPSUS$ n'a pas toujours communiqué efficacement ses demandes d'extorsion à ses victimes. De plus, il est arrivé au groupe d'afficher publiquement son désaccord sur la façon de divulguer les données et de faire des demandes « excessives et illogiques ». Concernant Nvidia, LAPSUS$ a demandé à l'entreprise de modifier la technologie de ses puces, une requête raisonnablement irréalisable. Il semble que cette demande était une stratégie monétaire à plus long terme visant à accroître la possibilité de miner des cryptomonnaies, mais elle a visiblement été mal pensée.

Qu'ont accompli les membres de LAPSUS$ ?

Bien que les premières attaques du groupe LAPSUS$ n'aient pas capté le même niveau d'attention que les dernières en date, certaines ont causé pas mal de dégâts et ont rapidement placé le groupe sous le radar des défenseurs, en particulier dans les régions les plus touchées par ces premières attaques. Le groupe a réussi à perturber plusieurs sociétés de médias et de télécommunications en Amérique latine et en Europe, ainsi que le ministère de la Santé du brésil.

Ce n'est qu'au moment de l'attaque contre Nvidia, fin février, que LAPSUS$ est vraiment apparu sous les feux des projecteurs. Avec cette attaque, le groupe s'est imposé sur la scène mondiale et a entamé une brève percée dans de grandes entreprises technologiques, avec un côté parfois plus sensationnel que fonctionnel.

Les attaques de Samsung, Microsoft et Okta n'ont certes pas eu les conséquences techniques que nous redoutons tous lors d'un incident dans des entreprises de cette envergure, mais elles ont causé des dégâts considérables. L'incident d'Okta a notamment mis le secteur de la cyber-sécurité sens dessus dessous pendant l'enquête et lors de la communication de l'incident. Alors même que ces incidents étaient en cours, le groupe continuait à cibler de plus petites entreprises en Amérique du Sud et en Europe.

Compte tenu du caractère imprévisible du groupe LAPSUS$ et de ses demandes farfelues ne pouvant être satisfaites (le groupe est même allé jusqu'à accuser une cible de l'avoir piraté en retour), sa présence sur les devants de la scène de la cyber-sécurité a été chaotique. Il est difficile d'évaluer le montant extorqué par le groupe LAPSUS$, mais une chose est sûre : il a acquis une certaine notoriété, pour le meilleur ou pour le pire. Trois mois après le pic des attaques et des arrestations au sein de LAPSUS$, le groupe semble globalement inactif.

Comment les entreprises devraient-elles réagir ?

Les principales tactiques du groupe LAPSUS$ se concentrent sur l'ingénierie sociale et le recrutement d'initiés. Dans son rapport sur les activités du groupe, NCC Group a fourni des indicateurs de compromission pour les attaques commises par LAPSUS$. Les entreprises devraient suivre les conseils suivants pour se défendre contre les attaques de LAPSUS$ et d'autres groupes d'extorsion.

• Réévaluation des politiques des services d'assistance et sensibilisation à l'ingénierie sociale
• Renforcement de l'authentification MFA : éviter la MFA par SMS ; garantir l'utilisation de mots de passe forts ; utiliser au maximum l'authentification par un autre moyen que le mot de passe
• Utilisation d'options d'authentification fortes pour les applications connectées à Internet, comme OAuth et le langage SAML (Security Assertion Markup Language)
• Détection et correction des vulnérabilités connues et exploitées qui pourraient permettre aux pirates de se déplacer latéralement dans vos systèmes, d'élever leurs privilèges et d"exfiltrer des données sensibles
• Renforcement de la posture de sécurité cloud : améliorer la détection des risques et renforcer la configuration des accès

Dans son analyse de l'incident ciblant ses propres systèmes, Okta indique que l'adoption du modèle zéro confiance a constitué son principal mécanisme de défense. Les étapes d'authentification supplémentaires nécessaires pour accéder à des applications et à des données sensibles ont empêché le groupe LAPSUS$ d'y accéder, ce qui aurait pu avoir une incidence catastrophique sur Okta et ses clients.

Les groupes d'extorsion tels que LAPSUS$ ne ciblent pas Active Directory avec les mêmes motivations que des groupes de ransomware traditionnels, mais essaient tout de même de compromettre des cibles AD pour utiliser leurs accès et élever leurs privilèges. Configurer et surveiller AD correctement est aussi important pour lutter contre l'extorsion que pour empêcher les ransomwares. En outre, il y a de fortes chances que ces groupes d'extorsion ciblent des environnements cloud. Il a été observé que le groupe LAPSUS$ avait ciblé l'infrastructure cloud, supprimé des ressources et bloqué des utilisateurs légitimes.

Comme pour leurs homologues des attaques par ransomware, ces groupes d'extorsion s'appuient encore sur les vulnérabilités traditionnelles que les entreprises ont omis de corriger. Lors de la RSA Conference de juin 2022, le directeur de la cyber-sécurité de la NSA, Rob Joyce, a déclaré que traiter les vulnérabilités exploitées connues devait être « la base » de tout travail en matière de cyber-sécurité. Les clients de Tenable peuvent s'appuyer sur notre modèle d'analyse de l'écosystème des ransomwares (Tenable.io, Tenable.sc) et nos rapports pour évaluer les vulnérabilités de leurs environnements. Précisément celles qui sont connues pour être souvent ciblées par les groupes de ransomware et exploitées par les groupes d'extorsion.

L'avenir des groupes d'extorsion

LAPSUS$ n'est pas le seul acteur dans le domaine de l'extorsion. Dans le sillage de la fermeture de Conti, il a été observé que certains de ses affiliés s'adonnaient à des attaques similaires. Des agences gouvernementales américaines ont aussi alerté le secteur sur l'existence d'un autre groupe d'extorsion dénommé Karakurt. Alors qu'il se contentait d'exploiter un site de fuite de données pour le compte d'autres pirates, le groupe s'est lancé dans des opérations d'extorsion et de vol de données pour son propre compte.

Et tandis que les activités de LAPSUS$ commençaient à diminuer, le groupe RansomHouse est monté en flèche. Comme LAPSUS$, ce groupe a été catégorisé par certains comme un groupe de ransomware, mais il ne chiffre pas les données sur des réseaux cibles. Une grande partie de ses tactiques ressemblent à celles du groupe LAPSUS$. RansomHouse a même fait la promotion de ses activités sur le canal Telegram de LAPSUS$ !

Tout comme les attaques par ransomware, les attaques d'extorsion ne mènent nulle part tant qu'elles sont pas trop complexes ou coûteuses à mener. Les entreprises devraient évaluer les défenses dont elles disposent contre les tactiques employées, leur manière de les renforcer et si leur playbook de réponse tient compte de ces incidents. S'il peut sembler facile de sous-estimer les groupes de menace tels que LAPSUS$ du fait de leurs méthodes impudentes, peu sophistiquées et illogiques, les perturbations qu'ils ont causées à de grandes entreprises technologiques internationales nous rappellent que, même simplistes, ces tactiques peuvent causer d'importants dégâts.

Où trouver plus d'informations

• Rapport : Coup d’œil sur l'écosystème des ransomwares
• ContiLeaks: Les discussions révèlent plus de 30 vulnérabilités utilisées par Conti Ransomware – Ce que peut faire Tenable (en anglais)