Mise en garde du H3C américain contre Lapsus$

Le 7 avril 2022, le Health Sector Cybersecurity Coordination Center (H3C) a publié une note d’information, disponible en référence, intitulée « Lapsus$ et le secteur de la santé ». L’objectif de celle-ci est de décrire les méthodes du groupe criminel Lapsus$ ainsi que de mettre en garde les établissements de santé contre ses agissements.

 

Profil du groupe d'attaquants Lapsus$

Selon le bulletin du H3C, le groupe Lapsus$ a été identifié pour la première fois en avril 2020. Ses motivations principales seraient financières, mais son objectif est aussi de détruire des données et des structures IT. Les membres de Lapsus$ seraient assez jeunes (adolescents et jeunes adultes), comme le confirment par ailleurs les récentes arrestations au sein du groupe.

Le groupe s’illustre par le fait de ne pas utiliser de rançongiciel durant leurs opérations d'extorsion. En effet, leurs méthodes, afin d’obtenir des accès initiaux dans les systèmes ciblés, se révèlent opportunistes et ne nécessitent pas d’outils particulièrement sophistiqués. Leurs récentes cibles démontrent en revanche leurs ambitions avec, parmi leurs victimes, des géants du numérique tels que Samsung et Microsoft, ou encore des acteurs de secteurs plus spécialisés comme Okta ou le ministère brésilien de la Santé.

Tactiques et techniques utilisées par Lapsus$

Ci-dessous, quelques informations non exhaustives sur les tactiques et techniques utilisées par le groupe d’attaquants Lapsus$.

L’Accès initial
Pour obtenir un accès initial (établir un premier pas dans le réseau de l’organisation), les attaquants ont recours aux moyens suivants :

  • Utilisation d’outils malveillants, notamment le programme Redline Stealer pour le vol d’identifiants et des mots de passe.
     
  • Achat des données sensibles (identifiants, mots de passe…) sur des forums du marché noir.
     
  • Campagne de corruption ciblant des employés ou des organisations tierces pour la revente d’identifiant, de mot de passe et d’autorisation d’authentification multifacteur.
     
  • Campagne « Prompt Bombing » : il s’agit d’une tactique d’ingénierie sociale dont le principe repose sur le harcèlement via une ou plusieurs fenêtres popups qui se manifestent lors d’une authentification multifacteur. La fenêtre popup contient une charge malveillante qui s’active lorsque l’utilisateur accepte le message présenté, les codes issus de la charge vont permettre de récupérer l’identifiant et mot de passe.
     
  • Vol d’identifiants et mots de passe stockés dans des bases de données exposées sur Internet.

 

Mouvement latéral
Après avoir obtenu un accès initial dans le réseau de l’organisation ciblée, les attaquants vont tenter d’étudier le réseau dans son ensemble afin de le parcourir (mouvement latéral). Pour cela, les attaquants ont recours aux moyens suivants :

  • Exploitation de vulnérabilités logicielles et défauts de configuration.
     
  • Vol d’identifiants et mots de passe stockés dans des bases de données exposées.
     
  • Détournement de Mimikatz. Il s’agit d’une utilisation malveillante d’un outil légitime dédiée à la sécurité informatique. Plus précisément, cet outil permet de récupérer des mots de passe sur un poste après avoir obtenu des droits privilégiés.
     
  • Attaque par DCsync : processus malveillant qui consiste à imiter le comportement d’un Contrôleur de Domaine afin de voler des identifiants et mots de passe.
     
  • Diverses tentatives de corruption ciblant le centre d’assistance de l’organisation.

 

Exfiltration et destruction des données
Les attaquants ont recours aux moyens suivants :

  • Les attaquants utilisent des points d'accès VPN géographiquement proches de leurs cibles afin d'outrepasser les filtrages par géolocalisation des adresses IP mise en place sur les pare-feux.
     
  • Création de machines virtuelles dans le cloud de l’organisation ciblée afin de les utiliser dans de futures attaques.
     
  • Création et utilisation de comptes administrateurs dans le cloud de l’organisation ciblée et reconfiguration de la messagerie d’Office365 pour récupération des courriels. Les autres comptes administrateurs sont supprimés.
     
  • Suppression totale des données stockées sur le cloud et sur le site de l’organisation ciblée.
     
  • Les attaquants infiltrent les conversations de la gestion de réponse à incident.
     
  • Étude de l’état « psychologique » de l’organisation afin de mieux persuader / inciter au paiement de la rançon.

 

Compromission d’Okta

Le groupe Lapsus$ s’est récemment fait remarquer à la suite de la revendication d’une cyberattaque contre la société spécialisée dans l'identification numérique Okta, en janvier 2022. Le centre de coordination H3C indique par ailleurs, dans sa note à ce sujet, que les cyberattaques contre le secteur de la santé passent souvent par le ciblage des prestataires de services, possesseurs de données appartenant à de multiples cibles potentielles.

Par ailleurs, le centre de coordination cyber H3C déclare avoir découvert des preuves de compromissions d’organismes de santé à la suite de la cyberattaque d’Okta. Pour cette raison et du fait que le secteur de la santé offre des cibles qui semblent correspondre aux objectifs de Lapsus$, le H3C recommande aux organisations de santé de rester en état d’alerte maximale.