Voici un événement imprévu, parmis les incidents de cybersécurité de 2022 : un gang d’adolescents (connu sous le nom de LAPSUS$) a choisi par “crowndsourcing” les grandes entreprises technologiques à menacer.
Mais ce développement inattendu nous a montré une évolution intéressante dans le type de tactiques utilisées par les criminels pour décider quelle victime cibler, ainsi que dans le processus de collecte d’informations avant les attaques.

LAPSUS$ est un gang d’extorsion de données qui a apparemment débuté en Amérique du Sud et compte des membres dans d’autres pays, notamment au Royaume-Uni.

Ils ont compromis plusieurs entités publiques et privées au Brésil et dans d’autres pays d’Amérique latine et ont récemment acquis une plus grande notoriété en compromettant plusieurs entreprises très en vogue du secteur technologique.

Comment LAPSUS$ s’est emparé des données

LAPSUS$ a adopté deux méthodes inhabituelles parmi les groupes cybercriminels préétablis.
La première consiste à rester en communication constante avec son public par le biais de groupes de messagerie instantanée (MI), qui comptent actuellement plus de 45 000 membres.
Ce groupe d’extorsion effectue fréquemment des sondages pour connaître l’intérêt de ses membres pour leur(s) prochaine(s) victime(s).
Ils utilisent également la messagerie instantanée pour savoir s’ils ont des acheteurs intéressés par les informations qu’ils ont déjà réussi à exfiltrer de leurs anciennes victimes.

Cette communication fréquente semble en partie motivée par le fait qu’après s’être précipités pour s’emparer d’informations, ils étaient parfois incapables de trouver quelqu’un prêt à payer pour les obtenir.
En restant en contact avec leur public, ils augmentent les chances d’être payés.

Une deuxième tactique utilisée par LAPSUS$ consiste à offrir des incitations, notamment en soudoyant les employés des entreprises qu’ils ont l’intention d’attaquer. Ces incitations sont échangées contre des informations d’identification et des niveaux d’accès aux réseaux internes qui facilitent leurs opérations.

Mais ils ne s’arrêtent pas là ; le groupe recueille également des informations sur les processus internes des entreprises, les technologies utilisées, ainsi que des conseils pour savoir où trouver les informations les plus juteuses au sein du réseau.
Ils ont même réussi à convaincre certains assistants de direction de fournir des informations confidentielles sur les agendas des dirigeants et les projets en cours, une tactique qui peut augmenter considérablement l’efficacité de leur spear-phishing.

Bien que ce genre de techniques ne soit pas nouveau, la manière dont LAPSUS$ promeut publiquement ces “offres d’emploi” montre comment ils utilisent efficacement la communauté qu’ils ont rassemblée grâce à leurs canaux de messagerie instantanée.
Ils ont créé un réseau d'”agents internes” qui divulguent des informations, aidant ainsi le groupe à tirer le meilleur parti du temps de présence limité dans les réseaux ciblés.

Bien que cela puisse ressembler à un scénario de film, il y a un inconvénient, à rassembler tous ces “agents” au sein d’une entreprise cible.
À moins que les employés qui fournissent des informations au groupe ne le fassent par pure malveillance, cette tactique peut en fait réduire le temps nécessaire à l’arrestation des intrus, car les gens pourraient être enclins à signaler même les incidents dans lesquels ils ont été impliqués.

LAPSUS$ et les menaces de l’intérieur

Les menaces internes représentent un risque important pour les entreprises de toutes tailles, et pas seulement pour les géants de la technologie.
Elles peuvent être plus difficiles à combattre, tant du point de vue technique que de celui des utilisateurs ou encore de menaces provenant d’attaquants externes.

Les menaces malveillantes provenant de l’intérieur peuvent parfois passer inaperçues pendant une longue période, si la personne couvre bien ses traces.
Cela pourrait permettre aux attaquants d’avoir un accès prolongé aux informations confidentielles de l’entreprise et pourrait perturber les opérations au sein des organisations pendant des années.
Comme nous l’avons vu avec les attaques LAPSUS$, même une brève attaque peut avoir un impact significatif sur la réputation d’une entreprise, et causer de nombreuses nuits blanches aux responsables de la “réponse aux incidents”.

Selon le Verizon Data Breach Investigations Report de 2021, les menaces d’initiés sont à l’origine de 28 % des violations, et la recherche d’un gain financier est à l’origine de 76 % des attaques d’initiés.
Bien que les menaces intentionnelles d’initiés soient moins courantes que le risque que des initiés soient victimes par inadvertance d’ingénierie sociale, de telles attaques se produisent et peuvent être dévastatrices.

Lutte contre les menaces internes

Alors, comment une entreprise peut-elle détecter et répondre à une menace potentielle d’initié ?
Parfois, une organisation peut soupçonner qu’un initié pose un problème légitime, mais n’est pas encore en mesure de le prouver.
Parfois, la personne qui mène l’attaque peut faire une erreur et alerter involontairement l’entreprise sur ses actions.
Malheureusement, cette dernière hypothèse est la plus courante, ce qui signifie également que la violation a déjà eu lieu.

Lorsque les organisations détectent des menaces internes, les conséquences pour l’employé concerné dépendent généralement de la gravité de la situation.
Certains employés sont simplement licenciés, tandis que d’autres peuvent faire face à des procédures judiciaires prolongées.
D’une manière ou d’une autre, le risque personnel est important pour une personne qui participe à des attaques d’initiés.

Le fait que des groupes de cybercriminels tels que LAPSUS$ offrent publiquement des récompenses pour inciter les employés à agir de manière non éthique est préoccupant.
L’audace dont fait preuve ce groupe nous invite à repenser la manière dont nous abordons le problème des menaces internes.
Nous ne pouvons pas simplement supposer que la possibilité d’être licencié ou poursuivi en justice sera suffisante pour dissuader les initiés d’aider les attaquants.

Nous devons nous assurer d’intégrer une stratégie globale qui couvre les personnes, les processus et les technologies de pointe qui nous permettent de réagir rapidement et de manière proactive lorsqu’un comportement suspect ou malveillant est détecté.

La technologie peut-elle aider ?

Comme ces attaques de LAPSUS$ ont réduis considérablement le temps nécessaire aux attaquants pour obtenir des données vendables, nous devons trouver de nouvelles façons d’identifier et de mettre fin aux attaques d’initiés plus rapidement.
L’apprentissage automatique (ML), qui a été formé sur les activités normales du système, peut être un moyen utile de détecter si un employé fait quelque chose qui sort de sa routine habituelle, ou si il se transforme alors en un potentiel criminel.

Par exemple, nous pourrions voir si un graphiste qui ne fait normalement qu’accéder aux ressources de conception graphique tente d’accéder à la base de données des clients de l’entreprise.
Cela pourrait indiquer qu’il est à la recherche d’informations commercialisables, ou qu’il est simplement curieux de connaître un certain client pour des raisons personnelles.

S’il aggrave ensuite la situation en tentant de télécharger la base de données ou les dossiers individuels des clients sur sa propre machine, cela sera détecté comme une attaque potentielle en cours.
Cela pourrait empêcher l’employé de télécharger des données sensibles sur un site externe, avant que le mal ne soit fait.

Les êtres humains sont par nature des créatures imprévisibles et chaotiques, mais comme pour les logiciels malveillants, certains comportements sont davantage perçus comme un signe que l’utilisateur a l’intention de faire quelque chose qui pourrait nuire à l’entreprise, que ce soit intentionnellement ou par inadvertance.

Pour se prémunir contre les menaces internes, une bonne défense de première ligne consiste à installer un logiciel intelligent qui apprend au fil du temps les modèles de comportement de chaque utilisateur.
L’organisation peut ainsi être avertie rapidement que quelque chose ne va pas, ce qui lui permet d’adapter dynamiquement sa politique de sécurité en fonction de la localisation de l’utilisateur, du type d’appareil et d’autres facteurs.

Source : BlackBerry

Plus d’informations concernant les solutions :