Unit 42 ha aiutato le organizzazioni a rispondere a molteplici attacchi Lapsus$.
Il gruppo Lapsus$ non utilizza malware negli ambienti delle vittime violate, non crittografa i dati e, nella maggior parte dei casi, non sfrutta l’estorsione. Si concentra sull’utilizzo di una combinazione di credenziali rubate e di ingegneria sociale per ottenere l’accesso.
Tuttavia, gli attacchi del gruppo e la sottrazione di dati anche senza estorsione possono essere molto dannosi. Inoltre, sono stati osservati attacchi distruttivi di Lapsus$ in cui gli attori hanno avuto accesso all’ambiente cloud di un’organizzazione, cancellato i sistemi e distrutto più di mille macchine virtuali.
Quindi, nonostante a volte nei report venga definito semplicemente come un gruppo ransomware, Lapsus$ si distingue per non distribuire ransomware nei suoi tentativi di estorsione. Nell’ambiente attuale, gli attori delle minacce preferiscono usare il ransomware per crittografare dati e sistemi e spesso estorcono alle vittime quantità significative di criptovalute in cambio delle chiavi di decrittazione, a volte aumentando la pressione con la minaccia di pubblicare le informazioni rubate. Lapsus$, tuttavia, ha un approccio insolito e fuori dagli schemi: per questo gruppo, l’obiettivo sempre essere più spesso la notorietà e non il guadagno finanziario.
Nonostante non ci siano indicatori pubblici di compromissione, né tattiche, tecniche e procedure uniche per Lapsus$ Group, secondo i ricercatori Unit 42 di Palo Alto Networks ci sono dettagli che possono consentire ai difensori di comprendere e mitigarne la minaccia.
