Lapsus$: Eine aufstrebende Cybercrime-Gang mit neuen Methoden

17. März 2022, 12:36
image
Foto: Chris Dinoto / Unsplash

Die Bande ist innert kurzer Zeit mit Angriffen auf Samsung, Nvidia und Ubisoft aufgefallen – und mit ungewohnten Kommunikationskanälen. Was steckt hinter der Gruppe?

Ende Februar 2022: Cyberangriff und Datenabfluss bei Nvidia. Anfang März 2022: Attacke und Klau von Source Code bei Samsung. Mitte März 2022: Hack beim Videospielhersteller Ubisoft. Die Hauptsitze der betroffenen Unternehmen liegen in den USA, Südkorea und Frankreich, und es sind alles grosse Namen. Hinter den Angriffen aber steckt laut Bekennerschreiben eine bisher eher unbekannte Gruppe: Lapsus$.
Der Ursprung der Bande wird in Brasilien vermutet. Anfänglich lagen dort auch ihre Ziele: das Gesundheitsministerium oder die Autovermietung Localiza. Dann wurden die Angriffe auf portugiesische Unternehmen erweitert. Mit Beginn des Jahres 2022 bekannte sich Lapsus$ zu Attacken auf Vodafone Portugal und den Medienkonzern Impresa. Nun also von Samsung bis zu Ubisoft eine weitere Ausweitung des Hackradius.

Eine völlig neue Gruppe

Wer sind diese Cyberkriminellen? "Basierend auf ihrem öffentlichen Verhalten und ihrer Kommunikation, wird angenommen, dass sie eine völlig neue Gruppe sind und nicht einfach ein unbenannter, bereits bestehender Bedrohungsakteur", erklärte Tyler Croak von der Cybersecurity-Firma Lookout gegenüber 'The Register'.
Ein weiterer Security-Experte, Casey Bisson von Blueracket, sagte dem IT-Onlinemagazin: "Da sich die üblichen Verdächtigen der Cyberkriminalität auf den Krieg in der Ukraine und damit verbundene Ziele konzentrieren, gibt es Raum für weniger professionelle Akteure, sich vorzustellen." Lapsus$ scheine bestrebt zu sein, diese Cybercrime-Leiter schnell hochzuklettern.

Insider bei Microsoft und Apple gesucht

Allerdings unterscheidet sich ihr Vorgehen von dem von bisher berüchtigten Banden wie Conti, Hive oder Lockbit. Statt wie diese, Daten abzugreifen, Systeme zu verschlüsseln und dann zu drohen, die gestohlenen Informationen preiszugeben, wenn das Opfer nicht bezahlt, scheine sich Lapsus$ vor allem auf Datendiebstahl und Erpressung zu konzentrieren, schreibt 'Wired'. Die Angriffe führen bei den betroffenen Unternehmen trotzdem zum Ausfall von IT-Systemen. Die Bande selbst erklärte Ende 2021: "Denken Sie daran: Das einzige Ziel ist Geld, unsere Gründe sind nicht politisch." Im Fall von Nvidia stellte sie noch weitere Forderungen, unter anderem, dass der Konzern bestimmte Treiber als Open Source freigebe.
image
Leak-Poll im Telegram-Kanal von Lapsus$.
Auch ihre Kommunikation funktioniert anders. Lapsus$ betreibt keine Darkweb-Seite für Leaks und Drohungen. Kommuniziert wird über einen Telegram-Kanal. Aktuelle Follower-Zahl: über 31'000. Dort veranstaltet die Bande auch Umfragen, welche Datenpakete aus welchem Hack sie als nächste veröffentlichen soll. Und schaltet Inserate auf: "Wir rekrutieren Mitarbeiter/Insider!" Man suche Mitarbeiter "bei Microsoft, Apple, IBM, OVHcloud, Telefonica, ATT usw.", die "ein VPN oder Zugang zum Netzwerk" zur Verfügung stellen würden.
Generell richte Lapsus$ "eine ganze Menge Chaos" an, so Mandiant-CTO Charles Carmakal zu 'Wired'. "Sie prahlen vor ihren Freunden, und wenn sie Geld bekommen, nehmen sie es, aber Geld scheint nicht der einzige oder gar wichtigste Antrieb zu sein." Dieser Durst nach Bekanntheit mache Lapsus$ besonders rücksichtslos.

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Nächste Untersuchung zum Microsoft-Activision-Deal

Nach der EU und Grossbritannien schaut sich wohl auch die ameri­ka­nische Federal Trade Commission die Milliardenübernahme des Spielestudios genauer an.

publiziert am 24.11.2022
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022