Les gangs de rançongiciels ont deviennent des machines lucratives bien huilées dans leur quête de profits criminels. Mais depuis décembre, un groupe apparemment nouveau appelé Lapsus$ a ajouté une énergie chaotique sur le terrain, gambadant avec une forte présence sur les réseaux sociaux sur Telegram, une série de victimes très médiatisées, dont Samsung, Nvidia et Ubisoft, des fuites calamiteuses, et accusations dramatiques qui s’ajoutent à une escalade imprudente dans une industrie déjà illégale.
Ce qui rend également Lapsus$ remarquable, c’est que le groupe n’est pas vraiment un gang de rançongiciels. Au lieu d’exfiltrer des données, de crypter les systèmes cibles, puis de menacer de divulguer les informations volées à moins que la victime ne paie, Lapsus$ semble se concentrer exclusivement sur le vol de données et l’extorsion. Le groupe accède aux victimes par le biais d’attaques de phishing, puis vole les données les plus sensibles qu’il peut trouver sans déployer de logiciels malveillants de cryptage des données.
“Tout a été assez erratique et inhabituel”, explique Brett Callow, analyste des menaces chez la société antivirus Emsisoft. “Mon sentiment est qu’ils sont une opération talentueuse mais inexpérimentée. Reste à savoir s’ils chercheront à se développer et à recruter des affiliés ou à rester petits et maigres.
Lapsus$ est apparu il y a quelques mois à peine, initialement axé presque exclusivement sur des cibles de langue portugaise. En décembre et janvier, le groupe a piraté et tenté d’extorquer le ministère brésilien de la Santé, le géant portugais des médias Impresa, les télécoms sud-américains Claro et Embratel, et la société brésilienne de location de voitures Localiza, entre autres. Dans certains cas, Lapsus$ a également lancé des attaques par déni de service contre les victimes, rendant leurs sites et services indisponibles pendant un certain temps.
Même dans ces premières campagnes, Lapsus$ a fait preuve de créativité ; il a configuré le site Web de Localiza pour qu’il redirige vers un site de médias pour adultes pendant quelques heures jusqu’à ce que l’entreprise puisse l’annuler.
Au fur et à mesure que les attaquants se sont intensifiés et ont gagné en confiance, ils ont élargi leur portée. Ces dernières semaines, le groupe a frappé les plateformes de commerce électronique argentines MercadoLibre et MercadoPago, affirme avoir violé le télécom britannique Vodafone et a commencé à divulguer du code source sensible et précieux de Samsung et Nvidia.
“Rappelez-vous: le seul objectif est l’argent, nos raisons ne sont pas politiques”, a écrit Lapsus $ dans sa chaîne Telegram début décembre. Et lorsque le groupe a annoncé sa violation de Nvidia sur Telegram fin février, il a ajouté: “Veuillez noter: nous ne sommes pas parrainés par l’État et nous ne sommes pas du tout en politique.”
Les chercheurs disent, cependant, que la vérité sur les intentions du gang est plus trouble. Contrairement à la plupart des groupes de rançongiciels les plus prolifiques, Lapsus$ semble être plus un collectif lâche qu’une opération disciplinée et corporatisée. “À ce stade, il est difficile de dire avec certitude quelles sont les motivations du groupe”, explique Xue Yin Peh, analyste principal du renseignement sur les cybermenaces au sein de la société de sécurité Digital Shadows. “Rien n’indique encore que le groupe utilise un rançongiciel pour extorquer les victimes, nous ne pouvons donc pas confirmer qu’ils sont financièrement motivés.”
“Ce groupe opère sur la crédibilité et l’influence de la rue.”
Charles Carmakal, Mandiant
Lapsus$ a violé Nvidia à la mi-février, volant 1 téraoctet de données, y compris une quantité importante d’informations sensibles sur la conception des cartes graphiques Nvidia, le code source d’un système de rendu Nvidia AI appelé DLSS, et les noms d’utilisateur et mots de passe de plus de 71 000 Employés de Nvidia. Le groupe a menacé de publier de plus en plus de données si Nvidia ne répondait pas à une série de demandes inhabituelles. Au début, le gang a demandé au fabricant de puces de supprimer une fonctionnalité anti-crypto-extraction appelée Lite Hash Rate de ses GPU. Ensuite, Lapsus$ a exigé que la société libère certains pilotes pour ses puces.
“L’accent mis sur l’extraction de crypto-monnaie suggère que le groupe pourrait finalement être motivé financièrement, mais il adopte certainement une approche différente de celle des autres groupes pour solliciter des récompenses financières”, déclare Peh de Digital Shadows.
