Lapsus$, un groupe cybercriminel sous le feu des projecteurs

Lapsus$, un groupe cybercriminel sous le feu des projecteurs

S’ils voulaient de la gloire, les voilà servis. Le groupe Lapsus$, pratiquement inconnu l’année dernière, s’est hissé en 2022 sur le devant de la scène médiatique en revendiquant le piratage de plusieurs entreprises du secteur de la tech de premier plan. Cette soudaine renommée a poussé plusieurs entreprises spécialisées à publier des profils sur l’historique et le fonctionnement de ce groupe dont les méthodes tranchent avec les habitudes des groupes de ransomware qui tiennent le haut de l’affiche depuis bientôt deux ans.

publicité

Des premiers pas remarqués

Les premiers faits d’armes du groupe Lapsus$ remontent au mois de décembre 2021 selon l’analyse de la société française Sekoia. Les premières victimes du groupe sont localisées en Amérique du Sud : le groupe a ainsi revendiqué sur sa chaîne Telegram un piratage ayant visé le ministère de la santé brésilien au début du mois de décembre 2021. Les autres attaques revendiquées par le groupe à cette époque sont principalement concentrées dans l’espace lusophone, parmi lesquelles des entités privées, des sociétés de télévision et des organisations basées au Portugal et dans différents pays d’Amérique du sud. Les premières revendications du groupe sont d’ailleurs rédigées en portugais et en anglais, le groupe ayant par la suite opté pour l’anglais à mesure que ses cibles se faisaient plus internationales. Mais comme le note Sekoia : « Certains indices laissent penser que le groupe utilise des outils de traduction automatique pour communiquer en portugais. »

Avant de revendiquer des attaques sous le nom de Lapsus$, les membres du groupe semblent néanmoins avoir été impliqués dans d’autres piratages au cours de l’année 2021 comme le remarquent les analyses de Sekoia. « Le groupe semble avoir un lien avec un acteur menaçant nommé “4c3” qui est actif sur plusieurs forums de cybercriminalité depuis au moins mai 2021 ». Parmi les faits d’armes du groupe 4c3, on peut notamment citer le piratage de la société Electronic Arts au mois de juin 2021 ayant conduit à la diffusion de plusieurs gigaoctets de données internes.

Dans plusieurs messages postés sur des forums pour revendiquer l’attaque, le compte 4c3 faisait savoir que le nouveau nom du groupe serait dorénavant Lapsus$. Outre ce premier lien, Sekoia indique qu’une adresse d’un portefeuille de cryptomonnaie utilisé pour extorquer EA en mai 2021 a été réutilisée par la suite dans plusieurs affaires d’extorsions revendiquées par le groupe Lapsus$.

Pas de rançongiciel à l’horizon

Contrairement à de nombreux groupes cybercriminels, le groupe Lapsus$ n’est pas un adepte du ransomware, ces logiciels malveillants qui chiffrent les données de la cible et paralysent le système d’information. Si dans certains cas, le groupe a eu recours à ce type d’outils, l’essentiel de leur activité se concentre sur le vol de données à des fins d’extorsion. L’objectif est de pousser les victimes à payer pour éviter que les données ne soient pas publiées sur leur chaîne Telegram.
Comptant aujourd’hui un peu plus de 43 000 abonnés, cette chaîne Telegram est aussi un des éléments spécifiques à Lapsus$, qui préfère utiliser ce moyen de communication plutôt que les habituels sites dissimulés sur le réseau Tor.

Le groupe utilise cette chaîne Telegram pour interagir directement avec sa communauté, en leur demandant par exemple de voter pour décider des données qui seront diffusées par le groupe en priorité. Une autre chaîne Telegram créée par le groupe sert également d’espace d’échange et de recrutement pour les personnes qui souhaitent mener des activités malveillantes en ligne.

Dans un post de blog, les équipes de Microsoft dédiées à la sécurité ont dressé un portrait des méthodes utilisées par Lapsus$ dans ses attaques. Pour parvenir à compromettre les premières machines de ses cibles, le groupe a ainsi recours à plusieurs techniques : Microsoft constate le recours au logiciel malveillant Redline pour voler les mots de passe et les cookies de session d’un employé, l’achat de ces mots de passe et cookies de session auprès d’autres acteurs cybercriminels (une tactique qui avait notamment été employée pour s’attaquer à EA en 2021), la corruption d’employés au sein de la société victime ou encore le recours à des techniques de sim swapping.

Le cloud dans le viseur

Une fois ce premier accès obtenu, les membres du groupe Lapsus$ cherchent à approfondir leur accès au réseau de la victime en exploitant des vulnérabilités non corrigées ou en mettant la main sur des identifiants laissés en libres aces. Il est intéressant de noter que dans cette phase, les membres du groupe ont principalement recours à des outils disponibles librement sur internet pour leurs opérations (Microsoft cite ainsi l’utilisation de l’outil AD Explorer et Mimikatz). Le groupe est connu pour avoir recours à des techniques de social engineering, par exemple en se faisant passer pour un employé auprès des services de support IT de l’entreprise pour obtenir des accès.

Le groupe vise également les comptes ayant les autorisations sur les ressources de l’entreprise sur le cloud public, que ce soit sur Azure ou AWS. S’il y parvient, Microsoft indique que le groupe exploite ces accès à la fois pour exfiltrer les données volées vers leur propre infrastructure, mais aussi pour mettre en place une règle redirigeant l’ensemble des mails reçus et émis au travers d’Office365 vers un compte contrôlé par Lapsus$. Le tout en supprimant les autres comptes administrateurs cloud de l’entreprise afin d’être seul à bord. Une fois les données exfiltrées, le groupe entreprend également des actions visant à supprimer des données et réinitialiser des systèmes, ce qui déclenche généralement les processus de réponse à incident au sein de l’entreprise (que le groupe ne se prive pas d’écouter quand il en a la possibilité.)

Les feux de la rampe

Si le groupe intrigue les chercheurs, c’est parce qu’il est à la fois capable de piratage d’un niveau sophistiqué comme des pires erreurs de débutant. Sekoia relève ainsi les multiples occasions ayant conduit le groupe à révéler des indices sur ses membres : des noms de comptes laissés dans des screenshots revendiquant les attaques, des adresses IP réutilisées dans différentes attaques, la réutilisation de certains portefeuilles de cryptomonnaie voire même des conflits internes ayant poussé certains membres à divulguer des informations sur l’identité d’autres membres du groupe. Le groupe laisse transparaître un certain amateurisme que l’on voit peu chez des acteurs spécialisés dans les ransomware. « La plupart des groupes de rançongiciels établis suivent un modus operandi avec un modèle commercial établi. Lapsus$ ressemble plus à une startup avec une équipe de talentueux spécialistes de la sécurité offensive qui examinent les cibles d’un point de vue opportuniste, leur approche de la monétisation évoluant en fonction de la cible spécifique », a déclaré Ken Westin, directeur de la stratégie de sécurité de Cybereason.

Ainsi, le modèle économique du groupe est basé sur l’extorsion mais rien ne prouve que les récentes attaques menées par Lapsus$ ont donné lieu à des demandes de rançon. « L’analyse de leur comportement laisse penser à une volonté d’inciter à parler du groupe, dessinant ainsi le profil d’individu(s) en quête de gloire et de reconnaissance » écrivent les analystes de Sekoia, qui n’hésitent pas à comparer le groupe à Lulzsec, un groupe de cybercriminels actifs en 2011 et principalement motivés par la renommée. « Sur la base de leur personnalité publique, ils semblent également aimer informer tout le monde de ces accès. Ils apprécient les projecteurs, ce qui est quelque peu unique » résume de son côté Joshua Shilko, analyste principal principal chez Mandiant

Dans leur dernier message publié sur leur compte Telegram, le groupe annonce son intention de « prendre des vacances » jusqu’à la fin du mois de mars et indique que son activité serait donc réduite dans les prochains jours. Une manière de se mettre au vert après avoir été au centre de l’attention.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading