zephyr_p - stock.adobe.com
Lapsus$ Group: Vorbote einer neuen Ransomware-Generation?
Ransomware-Angreifer haben sich inzwischen zu Multi-Level-Angreifern weiterentwickelt. Damit steigt das Risiko für Lieferkettenangriffe. Ein Blick auf die Lapsus$ Group.
Es ist noch gar nicht so lange her, da war der cyberkriminelle Akteur Lapsus$ Group – benannt, nach der namensgleichen, von ihm häufig eingesetzten Ransomware – allenfalls einer Minderheit bekannt. Nun, nach nur gerade einmal drei Monaten, ist die Gruppe, dank einer ganzen Reihe spektakulärer Cyberangriffe, weltweit in aller Munde.
Selbst die hochwertigen Sicherheitssysteme der weltgrößten IT-Unternehmen – darunter auch diejenigen zweier namhafter Chiphersteller – scheinen für ihre technischen Fertigkeiten keine ernstzunehmende Herausforderung mehr darzustellen. Vor kurzem hat die Gruppe nun auch erstmals Codesignaturzertifikate entwendet. Bis zu ihrem ersten Supply-Chain-Angriff dürfte es nur noch eine Frage der Zeit sein.
Erstmals machte die Ransomware-Gang Lapsus$ Group Ende des Jahres 2021 auf sich aufmerksam. Im Dezember 2021 attackierte sie das brasilianische Gesundheitsministerium. Dutzende Terrabyte Daten, darunter COVID-Impfzertifikate von mehreren Millionen Brasilianern, soll die Gruppe entwendet und zerstört haben.
Zu den weiteren bekannt gewordenen Angriffen zählen diejenigen auf die brasilianischen Telekommunikationsunternehmen Claro und Embratel sowie einer auf die brasilianische Autovermietung Localiza. Im Falle Letzterer drangen sie ins Unternehmensnetzwerk ein und leiteten Besucher des Firmenportals auf die Webseite eines Pornoanbieters um.
Zu Beginn des Jahres rückten dann portugiesische Unternehmen in den Fokus. Portugals größter Fernsehsender, SIC, und die größte Zeitung des Landes, Expresso – beide Teil des portugiesischen Medienkonzerns Impresa – wurden attackiert. Zeitweise befanden sich mehrere Websites und Social-Media-Konten des Konzerns unter Kontrolle der Angreifer. Unter anderem verbreitete die Gruppe auf dem offiziellen Twitter-Konto von Expresso die Meldung: „Lapsus$ is the new president of Portugal” und versandte Phishing-Mails an alle Abonnenten des Newsletters der Zeitung. Auch Vodafone Portugal, der argentinische Online-Marktplatz MercadoLibre und die dazugehörige Online-Zahlungsplattform MercadoPago sollen attackiert und um eine größere Menge Daten gebracht worden sein.
Die Gruppe – eine eher untypische Ransomware-Gang
Experten vermuten, dass es sich bei der Lapsus$ Group um eine gänzlich neue, wahrscheinlich aus Südamerika stammende, Gruppierung Cyberkrimineller handelt, die gerade dabei ist, sich von einem eher losen Kollektiv zu festeren Strukturen zusammenzuschließen.
Auch wenn sie häufig als „Ransomware-Gang“ bezeichnet wird, bei genauerer Betrachtung ihrer Aktivitäten fällt auf: das hierfür typische Vorgehen – auf eine Verschlüsselung von Daten folgt eine Lösegeldforderung – fehlt. Stattdessen scheint die Lapsus$ Group sich weitgehend auf Datendiebstahl und Erpressung zu konzentrieren. Hat sie die – zumeist vertraulichen – Daten ihrer Opfer in ihren Besitz gebracht, droht sie mit deren Veröffentlichung. Ob und wie viel Geld Lapsus$ auf diese Weise bislang erbeutet hat, ist unbekannt.
Neben finanziellen Interessen scheint die Gruppe aber auch aktivistische Ziele zu verfolgen. Auch wenn sie jeden politischen Hintergrund ihrer Aktivitäten vehement zu bestreiten sucht, so lässt die Art ihrer Selbstinszenierung doch eine gewisse Nähe zum Hacktivismus erkennen. So nutzt die Gruppe, um Statements und Meldungen zum eigenen Vorgehen zu veröffentlichen und mit ihren „Anhängern“ zu kommunizieren, den Messenger-Dienst Telegram.
Aktuelle Follower-Zahl ihres Kontos: 30.000 – Tendenz steigend. Dort startet die Gruppe sogar Umfragen, aus welchem ihrer vorangegangenen Hacks sie als nächstes Datenpakete online stellen soll, und stellt interessierten Mitarbeitern der von ihr anvisierten Opfer lukrative Verdienstmöglichkeiten in Aussicht. Ursprünglich nutzte die Gruppe wohl Phishing-Angriffe, um in die Netzwerke ihrer Opfer einzudringen. Mittlerweile scheint sie aber über ausreichend Kapital zu verfügen, um auch Insider anwerben zu können.
Die Zündung der nächsten Stufe: Ubisoft, Nvidia und Samsung
Im März 2022 wurden nun drei weitere Angriffe bekannt. Der französische Spielehersteller Ubisoft, der US-Chiphersteller Nvidia und der südkoreanische Technologiekonzern Samsung waren betroffen. Was genau im Falle Ubisofts vorgefallen ist, ob Daten entwendet oder zerstört wurden, ob von Seiten der Lapsus$ Group Forderungen erhoben worden sind, ist noch unklar. Bekannt ist nur, dass es zu einem vorübergehenden Ausfall einiger Spiele, Systeme und Dienste kam und dass die Lapsus$ Group die Verantwortung übernommen hat.
Mehr ist dagegen über die Angriffe auf Nvidia und Samsung bekannt. Nvidia wurde ein TByte an Daten gestohlen; darunter sensible Informationen über das Design von sechs noch nicht auf dem Markt erhältlichen GPUs und die Nutzernamen und Passwörter von mehr als 70.000 Angestellten. Samsung hatte den Verlust von 190 GByte sensibler Daten, darunter Informationen zu verschiedenen Technologien sowie biometrische Authentifizierungsdaten zum Entsperren von Nutzerkonten, zu vermelden.
Auch Quellcode wurde entwendet. Im Fall Samsungs: für die Startprogramme vieler seiner derzeit erhältlichen Geräte, für seine Aktivierungsserver, seine Authentifizierungsverfahren und für Projekte, die das Unternehmen derzeit gemeinsam mit Qualcomm verwirklicht. Auch von Nvidia soll die Lapsus$ Group, laut eigenen Angaben, Quellcode für Treiber und Firmware entwendet haben. Die Gruppe hat nun die Möglichkeit, den Code auszuwerten und sich Schwachstellen zu erschließen – und/oder den Code an interessierte Dritte weiterzugeben. So hat Lapsus$ im Fall Nvidias mit der Veröffentlichung des Quellcodes gedroht, sollte der Chiphersteller nicht das LHR-Feature (Lite Hash Rate) von der GPU der RTX-30-Grafikkartenserie entfernen und Open Source-Treiber für seine macOS-, Windows- und Linux-Grafikkarten anbieten.
Darüber hinaus wurden im Fall Nvidias – hier tut sich noch einmal ein ganz neuer Gefahrenherd auf – auch zwei Codesignaturzertifikate entwendet. Laut mehreren Quellen nutzt Lapsus$ die Zertifikate bereits – um Malware zu signieren und diese so vor den Verteidigungssystemen seiner Opfer zu tarnen.
Risiko von weltweiten Supply Chain-Angriffswellen steigt
Mit den Angriffen auf Nvidia und Samsung hat die Lapsus$ Group gezeigt, dass sie mittlerweile über das erforderliche Rüstzeug – über Ansatzpunkte, Wissen, und geeignete Werkzeuge – verfügt, um auch Lieferkettenangriffe durchführen zu können. Angriffe, die – unter Zuhilfenahme von Codesignaturzertifikaten – die digitalen Vertriebskanäle eines IT-Herstellers nutzen, um die Systeme seiner Kunden zu kompromittieren. Hätte die Lapsus$ Group den Code eines Treibers von Nvidia oder Samsung unbemerkt manipuliert – ihn zum Beispiel mit einer Hintertür versehen – und signiert, hätten die Hersteller diese mit dem nächsten Update ungewollt an ihre Kunden in aller Welt ausgeliefert. Lapsus$ hätte auf einen Schlag hunderttausende und mehr leicht zugängliche Angriffsziele zur Auswahl gehabt.
„Für die nahe Zukunft sollte mit einem deutlichen Anstieg hochkomplexer Angriffe gerechnet werden. Für viele Unternehmen dürfte sich hier in den kommenden Monaten und Jahren ein echtes Problem auftun.“
Christine Schönig, Check Point Software Technologies GmbH
Dass selbst eine so junge Gruppe wie Lapsus$ schon so weit in hochgesicherte Unternehmensnetzwerke vorstoßen kann, dass sie den Quellcode und die Codesignaturzertifikate von Chipherstellern in Besitz nehmen kann, dieser Umstand sollte in jedem Fall zu denken geben. Bislang machten vor allem geheimdienstlich gestützte Gruppen, wie die chinesische Hackergruppe APT41 aka Double Dragon, mit entwendeten Zertifikaten und Supply-Chain-Angriffen auf sich aufmerksam.
Für die nahe Zukunft sollte mit einem deutlichen Anstieg dieses hochkomplexen Angriffstyps gerechnet werden. Für viele Unternehmen dürfte sich hier in den kommenden Monaten und Jahren ein echtes Problem auftun. Denn nur die wenigsten von ihnen haben ihre Sicherheits-Gateways und Endpunktsicherheitslösungen so aufgestellt und ausgerüstet, dass diese Malware, auch bei einer Tarnung durch offizielle Codesignaturzertifikate namhafter Hersteller, als Schadsoftware erkennen und rechtzeitig blockieren können.
Ransomware-Angreifer – wie die Lapsus$ Group – haben sich in den vergangenen Jahren vielfach zu Multi-Level-Angreifern weiterentwickelt. Es ist davon auszugehen, dass sie neben der Verschlüsselung und Lösegeldforderung, neben dem Diebstahl und der Erpressung, neben der Übernahme von Social-Media-Konten und Websites, auch vor dem Missbrauch von Codesignaturzertifikaten für Supply-Chain-Angriffe nicht zurückschrecken werden. Welche Angriffsziele Lapsus$ als nächstes ins Visier nehmen wird, hat die Gruppe bereits auf ihrem Telegram-Kanal bekannt gegeben: Microsoft, Apple, EA Games und IBM, sowie die Internetanbieter Claro, Telefonica und AT&T. Global Player von Hardware, Software und IT-Serviceleistungen also, die sich sehr gut für einen effektiven Supply-Chain-Angriff eignen würden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
