Lapsus$

Überblick

Lapsus$ ist eine international zusammengesetzte Gruppe, deren Vorgehen auf Datendiebstahl und Erpressung ausgerichtet ist. Anders als klassische Ransomware-Akteure verschlüsselt die Gruppe die Systeme ihrer Ziele in der Regel nicht, sondern entwendet vertrauliche Daten — insbesondere Quellcode — und droht mit deren Veröffentlichung, um Forderungen durchzusetzen. Im Visier standen vor allem große, international tätige Technologieunternehmen, deren interne Entwicklungsbestände für die Gruppe von besonderem Interesse waren. Auffällig ist die Zusammensetzung der Gruppe: Mehrere Beteiligte waren sehr junge Täter, von denen einige im Vereinigten Königreich festgenommen wurden. Lapsus$ trat mit medienwirksamen Einbrüchen in Erscheinung und setzte auf öffentliche Bloßstellung der Betroffenen als Druckmittel. Charakteristisch ist damit ein Erpressungsmodell, das nicht auf technischer Sabotage durch Verschlüsselung beruht, sondern allein auf der Drohung, gestohlene interne Informationen offenzulegen.

Taktiken & Vorgehen

Zur Kompromittierung interner Netzwerke setzt Lapsus$ auf eine Kombination etablierter Angriffswerkzeuge. Mit „Mimikatz“ werden Zugangsdaten aus kompromittierten Systemen ausgelesen, um sich anschließend mit erweiterten Rechten weiterzubewegen. Über „ADExplorer“ verschafft sich die Gruppe einen Überblick über die Struktur des Active Directory und erkundet so die Zielumgebung. Mittels des Dienstprogramms „NTDS Utility“ („ntdsutil“) wird die Active-Directory-Datenbank extrahiert, was den großflächigen Zugriff auf gespeicherte Anmeldeinformationen ermöglicht. Für den dauerhaften Fernzugriff auf kompromittierte Rechner nutzt die Gruppe die legitime Fernwartungssoftware „AnyDesk“. Im Mittelpunkt steht dabei nicht die Verschlüsselung, sondern der gezielte Abfluss sensibler Daten als Grundlage der anschließenden Erpressung.

Schutzmaßnahmen

Da mit „Mimikatz“ Anmeldeinformationen aus dem Arbeitsspeicher ausgelesen werden, sollte der Zugriff auf den Speicher privilegierter Prozesse überwacht und der Diebstahl von Zugangsdaten durch entsprechende Schutzmechanismen erschwert werden. Der Einsatz von „ADExplorer“ und „NTDS Utility“ legt nahe, dass Zugriffe auf das Active Directory und insbesondere auf die zugrundeliegende Verzeichnisdatenbank streng eingeschränkt, protokolliert und auf Auffälligkeiten ausgewertet werden sollten. Gegen den Missbrauch der Fernwartungssoftware „AnyDesk“ sollte die Ausführung nicht freigegebener Fernzugriffswerkzeuge unterbunden und der Einsatz zugelassener Lösungen über Anwendungssteuerung kontrolliert werden. Privilegierte Konten sollten zudem durch Mehr-Faktor-Authentisierung abgesichert werden.