Sử dụng kỹ thuật xã hội thay vì chiến thuật ransomware truyền thống. Nhóm Lapsus$ đã tấn công nhiều tổ chức, Microsoft cho biết.
Một nhóm tội phạm mạng tương đối mới đã nhanh chóng nổi tiếng với các chiến thuật độc đáo và các cuộc tấn công thành công chống lại một số tổ chức lớn. Được biết đến với cái tên Lapsus$, băng nhóm này sử dụng kỹ thuật xã hội để nhắm vào các nạn nhân của mình và đã tấn công các công ty như Samsung, Okta, NVIDIA và Microsoft. Trong một bài đăng trên blog được xuất bản hôm thứ Ba, Microsoft cung cấp thông tin chi tiết về các chiến thuật và kỹ thuật của nhóm, đồng thời đưa ra các mẹo về cách bảo vệ tổ chức của bạn khỏi các cuộc tấn công này.
Phạm vi bảo mật phải đọc
Lapsus$, còn được Microsoft đặt tên là DEV-0537, sử dụng mô hình tấn công tống tiền và phá hoại mà không dựa vào các trọng tải ransomware điển hình. Để tận dụng các nạn nhân tiềm năng, nhóm sử dụng một số loại kế hoạch kỹ thuật xã hội.
Chiến thuật của Lapsus$
Theo một chiến thuật, Lapsus$ sử dụng kỹ thuật xã hội dựa trên điện thoại thông qua hoán đổi SIM để xâm phạm điện thoại của nạn nhân. Với việc tráo SIM, tội phạm thuyết phục hoặc thậm chí trả tiền cho một nhân viên tại nhà cung cấp dịch vụ di động để đổi số điện thoại của nạn nhân sang thẻ SIM do kẻ tấn công sở hữu. Mọi yêu cầu xác thực đa yếu tố sau đó sẽ được chuyển đến điện thoại của tội phạm thông qua cuộc gọi hoặc tin nhắn, cho phép chúng chiếm đoạt tài khoản của nạn nhân.
Như một chiến thuật khác, Lapsus$ sẽ xâm phạm tài khoản cá nhân hoặc tài khoản riêng tư của ai đó như một cách để giành quyền truy cập vào các tài khoản liên quan đến công việc của họ. Một nhân viên thường sẽ sử dụng tài khoản cá nhân hoặc số điện thoại của họ như một phương pháp khôi phục mật khẩu hoặc cho MFA, mở cửa cho tội phạm đặt lại mật khẩu hoặc chiếm đoạt tài khoản.
Trong một số trường hợp, các thành viên của băng đảng sẽ gọi đến bàn trợ giúp của tổ chức và cố gắng thuyết phục đại diện hỗ trợ đặt lại thông tin đăng nhập cho một tài khoản đặc quyền. Để có vẻ thuyết phục hơn, nhóm sử dụng bất kỳ thông tin nào đã thu thập trước đó về tài khoản và nhờ một người nói tiếng Anh nói chuyện với đại diện bộ phận trợ giúp.
Trong một chiến thuật khác, Lapsus$ tìm kiếm nhân viên và đối tác kinh doanh sẵn sàng cung cấp quyền truy cập vào thông tin đăng nhập tài khoản và chi tiết MFA để thanh toán. Blog của Microsoft bao gồm một ví dụ về quảng cáo Lapsus$ tìm kiếm nhân viên tại các trung tâm cuộc gọi, nhà cung cấp dịch vụ di động và các tập đoàn lớn sẵn sàng chia sẻ quyền truy cập VPN hoặc Citrix vào mạng để kiếm tiền.
Ngoài các thủ thuật kỹ thuật xã hội này, Lapsus$ thực hiện các phương pháp truyền thống hơn để giành quyền truy cập vào tài khoản, mạng và các tài sản nhạy cảm khác. Nhóm sẽ mua thông tin xác thực và mã thông báo từ các diễn đàn trên Dark Web, quét kho mã công khai để tìm thông tin đăng nhập bị lộ và sử dụng một trình đánh cắp mật khẩu được gọi là Redline để lấy mật khẩu và mã thông báo.
Hơn nữa, Lapsus$ sẽ cố gắng khai thác các lỗi bảo mật trong các công cụ dựa trên web như Confluence, JIRA và GitLab, theo Microsoft. Bằng cách xâm phạm các máy chủ lưu trữ các công cụ này, nhóm cố gắng lấy thông tin đăng nhập của tài khoản đặc quyền và sau đó sử dụng lệnh tích hợp sẵn của Microsoft được gọi là ntdsutil để trích xuất cơ sở dữ liệu Active Directory của một mạng được nhắm mục tiêu.
Tương tự như vậy, Lapsus$ sử dụng một công cụ Active Directory được gọi là AD Explorer để thu thập tên của tất cả người dùng và nhóm trong một miền mạng. Sau đó, xác định tài khoản nào có đặc quyền cao hơn, nhóm này sẽ tìm kiếm các nền tảng như SharePoint, Confluence, JIRA, GitLab và GitHub để tìm thêm thông tin đăng nhập tài khoản có đặc quyền cao hơn qua đó có thể truy cập vào dữ liệu nhạy cảm bổ sung.
Mới nổi vào tháng 12 năm 2021, Lapsus$ ban đầu nhắm mục tiêu vào các tổ chức viễn thông, giáo dục đại học và chính phủ ở Nam Mỹ, Microsoft cho biết. Các cuộc tấn công ban đầu này thường xâm nhập các tài khoản tiền điện tử để lấy cắp ví kỹ thuật số của họ. Kể từ đó, tập đoàn đã mở rộng phạm vi hoạt động trên khắp thế giới, đánh vào các tổ chức trong lĩnh vực sản xuất, bán lẻ, chăm sóc sức khỏe và các lĩnh vực khác.
Một trong những nạn nhân công khai hơn của băng đảng này là chính Microsoft. Công ty cho biết họ đã tìm thấy một tài khoản đã bị xâm nhập bởi Lapsus$, cấp cho nhóm quyền truy cập hạn chế. Mặc dù Lapsus$ tuyên bố rằng họ đã lọc các phần của mã nguồn, nhưng Microsoft cho biết họ không tìm thấy mã hoặc dữ liệu nào bị lộ trong vụ xâm nhập.
Làm thế nào để tránh trở thành nạn nhân của Lapsus$
Để giúp các tổ chức tự bảo vệ mình trước các cuộc tấn công Lapsus$, Microsoft đưa ra lời khuyên sau:
- Yêu cầu MFA. Mặc dù chiến thuật hoán đổi SIM được sử dụng Lapsus$ được thiết kế để ngăn cản MFA, nhưng loại xác thực này vẫn là điều bắt buộc. MFA phải được yêu cầu cho tất cả người dùng từ tất cả các địa điểm, bao gồm cả những người từ các địa điểm đáng tin cậy và hệ thống tại chỗ.
- Tránh MFA dựa trên điện thoại và dựa trên SMS. Dựa trên các phương pháp được Lapsus$ sử dụng, đừng dựa vào MFA sử dụng cuộc gọi điện thoại hoặc tin nhắn SMS để xác thực người dùng. Thay vào đó, hãy chuyển sang các phương pháp an toàn hơn như Mã thông báo FIDO hoặc Microsoft Authenticator có khớp số.
- Sử dụng bảo vệ bằng mật khẩu Azure AD. Loại bảo vệ này đảm bảo rằng người dùng không dựa vào mật khẩu đơn giản hoặc dễ đoán. Để biết thêm chi tiết, hãy xem bài đăng trên blog của Microsoft về các cuộc tấn công bằng mật khẩu.
- Tận dụng các công cụ xác thực mật khẩu khác. Các phương pháp như Windows Hello for Business, Microsoft Authenticator và mã thông báo FIDO có thể giảm một số rủi ro với mật khẩu.
- Xem lại xác thực VPN của bạn. Để xử lý phát hiện đăng nhập dựa trên rủi ro, xác thực VPN của bạn nên tận dụng các tùy chọn như OAuth hoặc SAML được kết nối với Azure AD. Theo Microsoft, loại xác thực VPN này đã được chứng minh hiệu quả chống lại các cuộc tấn công của Lapsus$.
- Giám sát và xem xét bảo mật đám mây của bạn. Điều này có nghĩa là xem xét cấu hình rủi ro phiên và người dùng Truy cập có điều kiện của bạn, triển khai cảnh báo về bất kỳ sửa đổi rủi ro cao nào trên cấu hình đối tượng thuê và xem xét các phát hiện rủi ro trong Azure AD Identity Protection.
- Giáo dục tất cả nhân viên về các cuộc tấn công kỹ thuật xã hội. Giáo dục CNTT của bạn và nhân viên bàn trợ giúp để đề phòng những người dùng đáng ngờ và các giao tiếp bất thường với đồng nghiệp. Xem lại các chính sách của bộ phận trợ giúp về cách đặt lại mật khẩu, đặc biệt là những chính sách dành cho người dùng có đặc quyền cao. Hơn nữa, khuyến khích người dùng báo cáo bất kỳ thông tin liên lạc đáng ngờ hoặc bất thường nào từ bộ phận trợ giúp.
- Thiết lập các quy trình bảo mật để đối phó với sự xâm nhập có thể có của Lapsus$. Lapsus$ giám sát thông tin liên lạc phản ứng sự cố như một trong những chiến thuật của nó. Do đó, bạn nên giám sát các loại kênh liên lạc này để tìm bất kỳ người tham dự hoặc truy cập trái phép nào.