Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/01/21 11:46]
mkovacic
+++ racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/12/05 12:24] (trenutno)
@@ Redak 5: / Redak 5: @@
 ===== Sažetak =====
-Ovaj seminar pruža dubinsku analizu kibernetičkih napada koje je izvela poznata hackerska grupa Lapsus$. Fokusiramo se na njihove povijesne korake, motivaciju, tehnike napada i njihov utjecaj na digitalnu sigurnost. Cilj nam je razumjeti složenost ove ozloglašene kibernetičke prijetnje i njihove strategije napada.
+Ovaj seminar pruža temeljnu analizu kibernetičkih napada izvedenih od strane kibernetičke kriminalne grupe poznate kao Lapsus$. Kroz analizu njihovih povijesnih koraka, motivacija, tehnika napada, i njihovog utjecaja na digitalnu sigurnost, nastojimo shvatiti kompleksnost ove ozloglašene kibernetičke prijetnje te njihovih tehnika napada.
 ===== Uvod =====
-LAPSUS$ je međunarodna kibernetička kriminalna skupina koja je stekla reputaciju po provođenju kibernetičkih napada s fokusom na iznudu podataka. Prvi puta su privukli pažnju javnosti kada su izveli napad ransomware-a na Ministarstvo zdravstva Brazila u prosincu 2021., ugrozivši podatke o COVID-19 cijepljenju milijuna stanovnika. Nakon toga, grupa je nastavila svoj niz napada, ciljajući velike tehnološke korporacije kao što su Nvidia, Samsung, Microsoft, Vodafone te čak i tvrtka Ubisoft. Njihovi napadi nisu bili ograničeni samo na krađu podataka, poremetili su i usluge tvrtki te stajali iza napada na EA Games. Istražitelji su identificirali tinejdžera iz Engleske kao glavnog organizatora grupe, dok se sumnja da bi drugi član mogao živjeti u Brazilu. Članovi grupe pokazuju izuzetnu vještinu u hakiranju, a jedan od njih je toliko stručan da su istraživači prvotno pomislili da je njegov rad automatiziran. LAPSUS$ se ne drži određene političke skupine ili filozofije, a poznati su po nedostatku profesionalnosti čak i među ransomware bandama. Grupa ne poštuje svoja obećanja o uništenju ukradenih podataka i ne ulaže puno truda u prikrivanje tragova ili skrivanje tehnika. Iako je londonska policija uhitila sedam osoba povezanih s LAPSUS$ u ožujku 2022., samo su dvije osobe optužene. Ironično, grupa koja se bavi "doxxingom" pružila je informacije koje su dovele do uhićenja, no to nije značajno utjecalo na operacije grupe. LAPSUS$ i dalje održava javni profil, redovito komunicira putem Telegrama i e-pošte te nastavlja iznuditi i objavljivati podatke žrtava.
+LAPSUS$ je međunarodna kibernetička kriminalna skupina koja je stekla reputaciju po provođenju kibernetičkih napada s fokusom na iznudu podataka. Prvi puta su privukli pažnju javnosti kada su izveli napad ransomware-a na Ministarstvo zdravstva Brazila u prosincu 2021., ugrozivši podatke o COVID-19 cijepljenju milijuna stanovnika. Nakon toga, grupa je nastavila svoj niz napada, ciljajući velike tehnološke korporacije kao što su Nvidia, Samsung, Microsoft, Vodafone te čak i tvrtka Ubisoft. Njihovi napadi nisu bili ograničeni samo na krađu podataka, poremetili su i usluge tvrtki te stajali iza napada na EA Games. Istražitelji su identificirali tinejdžera iz Engleske kao glavnog organizatora grupe, dok se sumnja da bi jedan od članova mogao živjeti u Brazilu. Članovi grupe pokazuju izuzetnu vještinu u hakiranju, a jedan od njih je toliko stručan da su istraživači prvotno pomislili da je njegov rad automatiziran. LAPSUS$ se ne drži određene političke skupine ili filozofije, a poznati su po nedostatku profesionalnosti čak i među ransomware kriminalnim skupinama. Grupa ne poštuje svoja obećanja o uništenju ukradenih podataka i ne ulaže puno truda u prikrivanje tragova ili skrivanje tehnika. Iako je londonska policija uhitila sedam osoba povezanih s LAPSUS$ grupom u ožujku 2022., samo su dvije osobe optužene. Ironično, grupa koja se bavi "doxxingom" pružila je informacije koje su dovele do uhićenja, no to nije značajno utjecalo na operacije grupe. LAPSUS$ i dalje održava javni profil, redovito komunicira putem Telegrama i e-pošte te nastavlja iznuditi i objavljivati podatke žrtava.
@@ Redak 30: / Redak 30: @@
 Malware infekcije predstavljaju ozbiljnu prijetnju kibernetičkoj sigurnosti, a njihov cilj je infiltrirati računalne sustave ili mreže radi izazivanja štete ili krađe osjetljivih informacija. Ovi zlonamjerni softveri, skraćeno malware, obuhvaćaju različite vrste, uključujući viruse, trojance, crve, spyware i adware. Sposobni su se širiti kroz različite kanale, poput zaraženih e-pošti, zlonamjernih web stranica ili zaraženih datoteka. Nakon infiltracije, malware može izazvati različite štetne učinke, poput brisanja podataka, špijuniranja aktivnosti korisnika, ili čak preuzimanja kontrole nad sustavom.
-{{ :racfor_wiki:seminari2023:malware_trojan_horse.jpg?nolink&400 |}}**Slika 3:** Ilustracija malware-a [[https://www.linkedin.com/pulse/what-phishing-attack-dynamic-technical-solutions|Izvor]]
+{{ :racfor_wiki:seminari2023:malware_trojan_horse.jpg?nolink&400 |}}**Slika 3:** Ilustracija malware-a [[https://www.expressvpn.com/blog/what-is-malware/|Izvor]]
-Grupa redovito koristi različite oblike zlonamjernog softvera kako bi prodrli u sustav meta. To uključuje viruse, trojance i ransomware, omogućavajući im pristup osjetljivim informacijama ili uzimanje sustava kao taoce, čime stvaraju ozbiljne probleme za žrtve.
+Grupa LAPSUS$ redovito koristi različite oblike zlonamjernog softvera kako bi prodrli u sustav žrtava. To uključuje viruse, trojance i druge oblike malwarea, omogućavajući im pristup osjetljivim informacijama ili uzimanje sustava kao taoce, čime stvaraju ozbiljne probleme za žrtve.
@@ Redak 39: / Redak 39: @@
 ===Općenito o ransomware napadima===
-Ransomware je vrsta zlonamjernog koda koji šifrira podatke na zaraženom računalu ili mreži, sprječavajući korisnike da pristupe svojim datotekama. Nakon toga, napadači zahtijevaju otkupninu u zamjenu za dekripcijski ključ ili alat koji omogućava ponovno dobivanje pristupa podacima. Ransomware se često širi putem zlonamjernih e-pošti, zlonamjernih web stranica ili exploitiranja sigurnosnih propusta u softveru. Jednom kada se infiltrira, brzo počinje šifriranje datoteka na pogođenom sustavu. Često uključujuće važne dokumente, fotografije i druge važne informacije. Napadači zatim šalju obavijest žrtvi s uputama o tome kako platiti otkupninu, obično u kriptovaluti, kako bi dobili ključ potreban za dekripciju podataka. Ransomware napadi često ciljaju kako pojedince tako i organizacije, uključujući tvrtke, bolnice i javne institucije. Posljedice mogu biti ozbiljne, dovodeći do gubitka važnih podataka, financijskih troškova za otkupninu te oštećenja reputacije.
+Ransomware je vrsta zlonamjernog koda koji šifrira podatke na zaraženom računalu ili mreži, sprječavajući korisnike da pristupe svojim datotekama. Nakon toga, napadači zahtijevaju otkupninu u zamjenu za dekripcijski ključ ili alat koji omogućava ponovno dobivanje pristupa podacima. Ransomware se često širi putem zlonamjernih e-pošti, zlonamjernih web stranica ili exploitiranja sigurnosnih propusta u softveru. Jednom kada se zloćudni kod infiltrira, brzo počinje šifriranje datoteka na pogođenom sustavu. Često uključujuće važne dokumente, fotografije i druge važne informacije. Napadači zatim šalju obavijest žrtvi s uputama o tome kako platiti otkupninu, obično u kriptovaluti, kako bi dobili ključ potreban za dekripciju podataka. Ransomware napadi često ciljaju kako pojedince tako i organizacije, uključujući tvrtke, bolnice i javne institucije. Posljedice mogu biti ozbiljne, dovodeći do gubitka važnih podataka, financijskih troškova za otkupninu te oštećenja reputacije.
 {{ :racfor_wiki:seminari2023:lapsus_ransomnote.jpg?nolink&600 |}}**Slika 4:** Primjer ransomnote-a od strane LAPSUS$ grupe [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html|Izvor]]
@@ Redak 53: / Redak 53: @@
-Lapsus$ također cilja infrastrukturne mete, koristeći napredne tehničke vještine kako bi prodrli u mreže tvrtki, vlada ili organizacija. Ovakvi napadi često imaju dugotrajan i ozbiljan utjecaj na žrtvu, ugrožavajući njihovu operativnost i integritet.
+Lapsus$ grupa također cilja infrastrukturne mete, koristeći napredne tehničke vještine kako bi prodrli u mreže tvrtki, vlada ili organizacija. Ovakvi napadi često imaju dugotrajan i ozbiljan utjecaj na žrtvu, ugrožavajući njihovu operativnost i integritet.
-===== Najpoznatiji napadi=====
+===== Najpoznatiji napadi LAPSUS$ grupe=====
-==== Ministarstvo zdravstva u Brazilu (2021) ====
+====Impresa (2021)====
+Krajem 2021. godine Lapsus$ grupa napala je Impresu, najveći medijski konglomerat u Portugalu i vlasnika televizijskog kanala SIC i novina Expresso. Napadači su kompromitirali infrastrukturu Imprese. Napad se dogodio tijekom novogodišnjih praznika, web stranice Grupe Impresa, televizijski kanali SIC i novine Expresso "srušene" su i bile su izvan funkcije. Također, napadači su oskvrnuli sve stranice objavivši otkupnu poruku koja tvrdi da imaju pristup Amazon Web Services računu Imprese. Napad nije utjecao na radio i kabelske televizijske prijenose, dok je internetski prijenos SIC-a bio prekinut. Neko vrijeme su web stranice tvrtke bile u "modu održavanja". Prema portalu TheRecord, iako Impresa tvrdi da je povratila kontrolu nad svojim Amazon računom, LAPSUS$ grupa je putem Twitter računa Expressa tvrdila da ima pristup njenoj infrastrukturi. Početkom siječnja 2022. godine, grupa napala je web stranice Ministarstva zdravlja Brazila. Skupina je ciljala i južnoameričke telekomunikacijske pružatelje Claro i Embratel.
-Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", zajedno s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19.listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali.
+==== Ministarstvo zdravstva u Brazilu (2021) ====
+Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali.
 ==== Rockstar Games (2022, 2023) ====
@@ Redak 66: / Redak 68: @@
 ==== Okta (2022) ====
-. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom  Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom vremenskog perioda od pet dana između 16. i 21. siječnja.
+. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom  Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom perioda od pet dana između 16. i 21. siječnja.
 ==== Nvidia (2022) ====
-. veljače 2022., tehnološka tvrtka Nvidia postala je svjesna provala u svoje sustave. Lapsus$ grupa tvrdi da ima 1TB podataka iz Nvidije i prijeti objavom "potpunih datoteka silicija, grafike i računalnih sklopovlja za sve recentne GPU-ove tvrtke Nvidia, uključujući RTX 3090Ti i nadolazeće revizije" ako Nvidia ne objavi izvorni kod svojih upravljačkih programa uređaja. 3. ožujka objavljene su informacije za pristup kredencijalima za više od 71.000 zaposlenika Nvidije.
+. veljače 2022., tehnološka tvrtka Nvidia postala je svjesna provala u svoje sustave. Lapsus$ grupa tvrdi da ima 1 TB podataka iz Nvidije i prijeti objavom "potpunih datoteka silicija, grafike i računalnih sklopovlja za sve recentne GPU-ove tvrtke Nvidia, uključujući RTX 3090Ti i nadolazeće revizije" ako Nvidia ne objavi izvorni kod svojih upravljačkih programa uređaja. 3. ožujka objavljene su informacije za pristup kredencijalima za više od 71.000 zaposlenika Nvidije.
 ==== Samsung (2022) ====
@@ Redak 81: / Redak 83: @@
 ==== T-Mobile (2022) ====
-. ožujka 2022., Lapsus$ je dobio pristup korisničkom računu unutar telekomunikacijske tvrtke T-Mobile. Visoko pozicionirani član Lapsus$-a pod pseudonimom "White" neuspješno je pokušao dobiti pristup računima T-Mobilea FBI-ja i Ministarstva obrane Sjedinjenih Američkih Država. Naposlijetku, Lapsus$ je uspio dobiti pristup repozitorijima izvornog kôda koji pripadaju T-Mobileu.
+. ožujka 2022., Lapsus$ je dobio pristup korisničkom računu unutar telekomunikacijske tvrtke T-Mobile. Visoko pozicionirani član Lapsus$-a pod pseudonimom "White" neuspješno je pokušao dobiti pristup računima T-Mobilea FBI-ja i Ministarstva obrane Sjedinjenih Američkih Država. Naposljetku, Lapsus$ je uspio dobiti pristup repozitorijima izvornog kôda koji pripadaju T-Mobileu.
 ==== Microsoft (2022) ====
@@ Redak 90: / Redak 92: @@
 ==== Uber (2022) ====
-. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$.
+. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe.
 ===== Zaključak =====
+Lapsus$ grupa predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti s visokom razinom sofisticiranosti u izvođenju svojih napada. Kroz analizu njihovih tehnika, motivacija i najpoznatijih napada, otkrivamo da grupa ne pokazuje nikakav oblik profesionalizma čak i unutar kriminalnih krugova. Unatoč uhićenjima i optužbama, Lapsus$ održava svoj javni profil, komunicira putem Telegrama i e-pošte te nastavlja s iznudom i objavljivanjem ukradenih podataka. Napadi na različite sektore, uključujući zdravstvo, tehnologiju i igraću industriju, ukazuju na širinu njihove mete i sposobnost prilagodbe.
-Lapsus$ grupa predstavlja visoku prijetnju kibernetičkoj sigurnosti, izvodeći napade s visokom razinom sofisticiranosti. Ovaj seminar ne samo da pruža uvid u njihove metode, već ističe nužnost poboljšanja sigurnosnih postupaka i podizanja svijesti o kibernetičkim prijetnjama kako bi se odgovorilo na ovakve izazove.
+Napadi poput onih na Impresu, Ministarstvo zdravstva u Brazilu, Rockstar Games, Nvidia, Samsung, Microsoft, te druge tvrtke, pokazuju da Lapsus$ grupa nije ograničena ni po industriji ni po geografskom području. Njihove tehnike, uključujući phishing, malware infekcije, ransomware napade te napade na infrastrukturu, prikazuju širok spektar vještina i sposobnosti prilagodbe njihovih taktika.
 ===== Literatura =====
+[[https://en.wikipedia.org/wiki/Lapsus$]]
+[[https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/]]
+[[https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates]]
+[[https://www.fbi.gov/wanted/seeking-info/lapsus]]
+[[https://securityscorecard.com/research/lapsus-update/]]
+[[https://www.provendata.com/blog/lapsus-ransomware/#:~:text=The%20group%20employs%20a%20variety,data%20through%20remote%20desktop%20tools.]]
+[[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html]]
+[[https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/lapsus]]

racfor_wiki/seminari2023/lapsus_grupa_-_tehnike.1705837574.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)