Lapsus$ : quand les enfants jouent dans la cour des grands

Vous n’avez peut-être pas manqué tous les bruits récemment causés par Lapsus$, un groupe qui semble se spécialiser dans l’extorsion sans nécessairement tirer parti des ransomwares.

À première vue, Lapsus $ coche tous les éléments qui inciteraient les chercheurs à les placer dans les menaces de faible priorité, en particulier compte tenu de leur volonté de faire des drames et des échecs OpSec. Sauf que le groupe a réussi à enrichir considérablement sa liste de victimes avec des entreprises de premier plan, attirant ainsi toute notre attention.

Dans ce qui suit, nous décrirons le profil de l’acteur de la menace qui a été établi par nos enquêtes basées sur l’analyse OSINT, du dark web ou de l’infrastructure.

Des cibles de haut niveau

Depuis l’annonce de sa première victime en décembre 2021, Lapsus$ s’est livré à des tentatives d’extorsion avec au moins 15 entités différentes.

Alors qu’il se concentrait initialement sur les organismes gouvernementaux brésiliens, le groupe ciblait récemment les grandes entreprises de technologie, de télécommunications, d’automobile et de vente au détail dans le monde entier. Parmi ses victimes de premier plan : Samsung, Nvidia Corporation et Vodafone.

Le groupe a récemment annoncé une nouvelle victime sur sa chaîne Telegram, qui est le fournisseur de services d’authentification Okta. Lapsus$ aurait eu accès au réseau de l’entreprise le 21 janvier, sinon plus tôt, et aurait rendu son attaque publique le 22 mars. S’il est confirmé, cet incident pourrait entraîner une attaque très dommageable de la chaîne d’approvisionnement logicielle.

Malgré certaines déclarations politisées (par exemple, un message politique avec des malédictions aux attaquants du président brésilien Bolsonaro laissé dans l’une de leurs lettres d’extorsion), Lapsus$ affirme qu’ils n’opèrent qu’à des fins de gain financier : «notre seul objectif est l’argent, nous ne sommes pas parrainés par l’État et nous ne sommes absolument pas en politique ».

Allons plus loin pour comprendre le fonctionnement de leur groupe

Alors que Lapsus$ prétend actuellement ne fonctionner que via Telegram (« nous n’avons pas d’autres réseaux sociaux »), le groupe semble avoir un lien avec un acteur menaçant nommé «4c3». Celui-ci a été actif sur plusieurs forums sur la cybercriminalité depuis au moins mai 2021. 4c3 a commencé par vendre les données des clients d’une entreprise allemande sur les forums souterrains RaidForums et Exploit. Puis deux mois plus tard, il a fait sa première grande victime – le géant du jeu Electronic Arts (EA). Le groupe représenté par 4c3 avait divulgué de grandes quantités de données (20-25 téraoctets) concernant EA mais également du code source.

Le fait est que 4c3 a déjà déclaré faire partie du groupe Lapsus$ le 20 juillet 2021 alors qu’il discutait de l’attaque d’EA sur le forum de piratage RaidForums. Et il a signé ses dernières publications sur plusieurs forums de cybercriminalité comme suit : « Veuillez noter que ce compte ne sera plus utilisé. Rappelez-vous notre nom. LAPSUS $ ».

Ainsi, on peut supposer que ce groupe est passé des forums de la cybercriminalité à d’autres moyens d’atteindre le public et les victimes.

Autre élément de liaison entre les acteurs qui ont compromis EA (avec 4c3 comme représentant) et le groupe Lapsus$ : l’adresse du wallet Monero qu’ils communiquent aux victimes. La note de rançon envoyée à Electronic Arts que nous avons pu consulter contenait l’adresse de ce wallet Monero à utiliser pour le paiement de la rançon :

42qLW1FiEDQKjeoSAFQRXaVpSUxB8fTYJ2Zeah8dcDTYDEjCb71iCR76ctGMysAB4nj3MTTCE5GuJMsC1eLuwKdu7v6FKf3

Cette même adresse nous a conduit à une autre série de tentatives d’extorsion datée début août 2021$ et signée Lapsus. Ces campagnes d’extorsion visaient les utilisateurs et les clients des victimes de Lapsus$, afin de mettre plus de pression sur eux.

Revendication de fuites de données et stratégies d’extorsion

À notre connaissance, Lapsus$ n’a utilisé qu’une seule fois un site Web pour revendiquer son implication dans une campagne. Pour la grande majorité de leurs opérations, ils ont plutôt choisi de menacer leurs victimes de la fuite de données et de partager les fuites associées sur une chaîne Telegram qu’ils ont créée en décembre 2021. La chaîne compte au moment de la rédaction plus de 32400 abonnés.

Choisir d’utiliser Telegram plutôt qu’un site Web comme la majorité des groupes de rançongiciels ou d’extorsion pourrait être une approche intelligente. En effet, une chaîne Telegram est plus facilement accessible par le grand public par rapport à un site Web nécessitant l’utilisation de TOR.

Ils utilisent également ce canal pour ajouter de la pression sur les victimes en partageant des sondages demandant à leur communauté de voter pour la prochaine fuite qui sera partagée par le groupe.

En parallèle, ils ont également créé une chaîne Telegram ouverte nommée « Lapsus$ chat » où chaque membre (plus de 8500 membres actuellement) est invité à parler de divers sujets de piratage.

Les discussions dans ce chat sont principalement conservées en portugais. Plus récemment, des participants russophones ont également rejoint la discussion. De plus, ce chat est également utilisé comme plate-forme pour encourager la coopération entre ses membres et servir de mécanisme de recrutement entre les membres du chat eux-mêmes, pour diverses tâches liées aux cyberattaques à venir.

Par conséquent, il ne sera pas surprenant que l’abus d’un service légitime, tel que Telegram, devienne une tendance vers laquelle les cybercriminels auront tendance à l’avenir à menacer leurs victimes de divulgation de données.

Pour la première fois depuis son existence, Telegram est devenu la messagerie instantanée la plus populaire en Russie à la mi-mars, étant à la fois :

• Un outil de communication

• Et l’une des principales sources d’information (après que la Russie ait restreint l’accès à d’autres réseaux sociaux et messageries).

À l’échelle mondiale, Telegram devient de plus en plus populaire parmi les acteurs de la menace, en concurrence avec d’autres applications de messagerie telles que Discord.

Le représentant du groupe Lapsus$ communique actuellement sur sa chaîne Telegram en portugais et en anglais. La langue portugaise a été utilisée dans la campagne de défiguration du ministère de la Santé du Brésil. Néanmoins, il semble que le groupe utilise la traduction automatique pour communiquer en portugais. Selon un tweet du groupe Anonymous Brazil, Lapsus$ serait formé par des personnes de nationalité espagnole et colombienne. Cette déclaration ne peut pas être validée pour le moment.

Lapsus$, l’art de l’auto-doxing et les premiers échecs de SecOp

Il y a quelques mois, Doxbin, un célèbre site de partage de données qui contient d’énormes quantités d’informations personnelles sur les attaquants et leurs victimes, a été vendu à un particulier sous le surnom de « White ». Celui-ci est/était prétendument un membre haut placé du groupe Lapsus$, sinon le leader. Bien que les choses ne se soient pas déroulées comme prévu, White a accepté de revendre le site Web aux anciens propriétaires.

Finalement, il s’est fâché lorsque les propriétaires l’ont exclu du serveur communautaire Discord. Après quelques drames, White a décidé de se venger de divulguer la base de données des utilisateurs en clair.

Le plus gros échec de Sec Op ici est que White, alias Alexander, a divulgué la base de données qui comprend également ses propres informations personnelles et mots de passe, dont les gens ont rapidement profité.

Ainsi, le dox a révélé que « White » alias Alexander, du groupe Lapsus$, était un garçon de 16 ans originaire d’Albanie, vivant avec sa mère au Royaume-Uni, où il fréquentait une école spécialisée.

Bien que nos enquêtes nous portent à croire qu’il est fort probable que le contenu dox soit véridique, on s’attend à ce qu’il conduise rapidement les forces de l’ordre à une arrestation.

De plus, nous avons des raisons de penser qu’Alexander aka White est aussi le propriétaire du compte doxbinwh1ite sur Exploit. En décembre 2021, cet utilisateur cherchait à être recruté par les groupes HelloKitty ou REvil, arguant qu’il possédait des accès à des sociétés telles que LG, Samsung et EA Games. Une liste de victimes qui correspond exactement aux entreprises que Lapsus$ a annoncé avoir compromises.

Cela nous amènerait à penser que s’il n’a pas réussi à rejoindre ces groupes de rançongiciels, il a plutôt choisi d’utiliser ces accès pour construire la réputation de Lapsus$ à la place.

Drame et immaturité avérée

En attendant, l’acteur de la menace expose toujours les conflits internes au sein du groupe, se doxxant mutuellement. Dans le message ci-dessous, qui a été rapidement supprimé, Lapsus$ a exposé l’utilisateur de Telegram @redeyeg0d, ancien membre du groupe.

Figure 9. Explication interne entre les membres de Lapsus$

En enquêtant sur les empreintes de cet utilisateur, nous avons trouvé une note de rançon laissée suite au cryptage des systèmes d’une victime par une souche de rançongiciel Babuk. Dans la note, il était mentionné que 200 Go de données avaient été exfiltrés et que tous les fichiers étaient cryptés. À la fin de la note, la victime est invitée à contacter @redeyeg0d sur Telegram. Étant donné que seul @redeyeg0d a été mentionné dans la demande de rançon, nous ne pouvons pas lier le groupe Lapsus$ à cette utilisation du ransomware Babuk, ou de tout autre ransomware.

SecOp assez mauvais ?

En enquêtant sur l’infrastructure récente de Lapsus$, nous avons étonnamment découvert que l’adresse IP utilisée comme C2 dans une campagne correspond à un domaine baptisé au nom du groupe.

Par conséquent, il semble que Lapsus$ ait utilisé le site Web associé pour réclamer une attaque où ils auraient crypté le système de la victime avec un ransomware. C’est la seule mention qui laisse à penser qu’ils auraient utilisé un rançongiciel dans une campagne.

Figure 10. Lapsus$ menaçant une de leurs victimes. Traduit en portugais, le message se lit comme suit : « Bonjour. Nous sommes de retour […] Notre seul but est d’obtenir de l’argent, nous nous foutons de la famille Bolsonaro […] un tas de serveurs ont été envoyés au cimetière des ‘données mortes’. La solution est de payer la rançon. »

La même adresse IP figurait sur notre base de données SEKOIA.IO IOC. Elle était en effet, utilisée pour héberger le service metasploit sur son port ssl par défaut 3790, en utilisant également le certificat ssl metasploit par défaut.

Figure 11. Entrez le port SSL que le service Metasploit doit utiliser. Par défaut, le serveur utilise le port 3790 pour HTTPS.

Par conséquent, l’attaquant n’a fait aucun effort pour modifier la configuration de base du framework metasploit dans le but d’éviter la détection.

Trop grand pour être réel ?

Plus tôt, Lapsus$ a partagé un autre message sur son Telegram avant de le supprimer rapidement une fois de plus.

Dans ce message, ils ont mis en ligne une photo pour potentiellement prétendre être à l’origine d’une perturbation sur le site de bleepingcomputer (qui n’était pas perturbé à ce moment-là), ou annoncer une future attaque sur la cible.

Figure 12. Une image téléchargée par un membre Lapsus$ sur son télégramme avant de le supprimer rapidement

En regardant attentivement les pages mises en signet, nous pouvons voir que l’acteur de la menace a mis en signet un compte GitHub qui inclut des liens vers le framework metasploit, les modules de force brute et la configuration du scanner qbot .

Figure 13. Le compte github marqué d’un signet

Rien ne prouve que le compte marqué d’un signet appartient à un membre du groupe Lapsus$, mais ce ne serait pas le premier échec de SecOp enregistré par le groupe.

Des enfants néanmoins talentueux

Malgré tous les drames et les échecs de SecOp que ces enquêtes ont révélés concernant le groupe Lapsus $, ce sont sans aucun doute des pirates informatiques talentueux qui ont réussi à atteindre des victimes de haut niveau. À moins qu’une arrestation ne vienne perturber leurs opérations et leur intégrité en tant que groupe, Lapsus$ est une menace à ne pas sous-estimer.

Par ailleurs, pour le moment le groupe n’a manifesté aucune volonté de cesser ses activités. Le 10 mars, Lapsus$ a annoncé sur sa chaîne Telegram qu’elle recrutait des employés/aguerris travaillant dans les secteurs des télécommunications, de l’informatique et des fournisseurs d’accès Internet. Ils précisent qu’ils ne recherchent pas des données mais des salariés capables de fournir des accès VPN ou Citrix. Ce qui est cohérent au vu des incidents que nous avons observés. L’accès initial exploité par le groupe était des campagnes de phishing menant à des comptes valides.

Figure 14. Annonce de recrutement de Lapsus$

Il semblerait que l’appel du groupe ait déjà abouti à la compromission d’une grande entreprise par l’intermédiaire d’une recrue. Selon les déclarations d’un membre présumé de Lapsus$ le 22 mars 2022, le groupe aurait corrompu un employé d’une des principales entreprises technologiques mondiales et cette recrue serait « la seule personne [qu’ils] ont payée ».

Renommée et gloire ?

Pour les victimes très récentes annoncées par le groupe Lapsus$, rien ne prouve que Lapsus$ les ait publiquement menacées de payer une rançon afin de protéger leurs données contre le partage, contrairement aux victimes précédentes. Ce qui nous amène à nous interroger sur les réelles motivations du groupe.

L’analyse de leur comportement nous amène à penser que le groupe cherche à se faire connaître. Nous retrouvons le profil d’un groupe en quête de notoriété et de gloire, comme nous l’avons vu par le passé avec le groupe LulzSec par exemple.

TTPs (ATT&CK)

Hameçonnage (T1566)

Exploitation d’une application accessible au public (T1190)

Comptes valides : comptes locaux (T1078.003)

Comptes valides : comptes cloud (T1078.004)

Défiguration externe (T1491.001)

Exfiltration automatisée (T1020)

Lire aussi sur notre blog :

• Le paysage des menaces ransomware observé par SEKOIA.IO durant le 1ᵉʳ semestre 2022
• Vice Society : un groupe de rançongiciels à double extorsion discret mais régulier.
• La Threat Intelligence n’est pas (seulement) sur un spectre
• Raccoon Stealer v2 – Partie 2 : Analyse approfondie