LAPSUS$
LAPSUS$ (Slippy Spider) è un gruppo di estorsione informatica di alto profilo, noto soprattutto per il suo stile di attacco pubblico, caotico e non tradizionale, che spesso prevede il furto di credenziali, il dirottamento del DNS e la fuga di dati tramite Telegram.
L'origine di LAPSUS$
Il gruppo LAPSUS$ - chiamato alternativamente SLIPPY SPIDER, Strawberry Tempest, DEV-0537, Slippy Spider o Team Imm0rtal - è stato avvistato per la prima volta nel giugno 2021.
A differenza dei gruppi di ransomware tradizionali, LAPSUS$ non si affida all'estorsione basata sulla crittografia, optando invece per l'infamia pubblica, la deturpazione e il doxxing per spingere le vittime al pagamento o all'attenzione. Le informazioni indicano che il gruppo può acquistare le credenziali dai broker di accesso, reclutare insider e sfruttare una scarsa igiene MFA. Il gruppo si avvale di strumenti di facile utilizzo come Mimikatz, RedLine Stealer e Metasploit e spesso riutilizza l'infrastruttura esistente per i propri attacchi.
Nell'agosto 2025, LAPSUS$ è tornata sotto i riflettori grazie a una partnership strategica con Scattered Spider e ShinyHuntersformando il nuovo e volatile collettivo di minacce noto come Scattered LAPSUS$ Hunters. Questa alleanza garantisce a LAPSUS$ l'accesso a tecniche di intrusione avanzate attraverso le capacità di sfruttamento cloud di Scattered Spider, nonché a vasti dump di credenziali e dati dalle reti di violazione di ShinyHunters. A sua volta, LAPSUS$ contribuisce con il suo caratteristico modello di estorsione caotica, con le sue tattiche di messaggistica virale e con la sua teatralità pubblica su Telegram, amplificando la visibilità e l'impatto psicologico del trio. La coalizione aumenta la portata operativa e la spettacolarità di LAPSUS$, mantenendo la sua immagine dirompente e anti-establishment.
Paesi destinatari di LAPSUS$
Le principali regioni interessate comprendono:
- Brasile
- Portogallo
- Regno Unito
- Stati Uniti
- Corea del Sud
- Francia
- Argentina
Industrie interessate dalla LAPSUS$
Il LAPSUS$ mostra uno schema poco distinguibile nella selezione delle vittime. Tuttavia, i settori osservati includono:
- Governo (MoJ del Regno Unito, DHS)
- Telecomunicazioni e tecnologia (NVIDIA, Microsoft, Samsung)
- Istruzione, sanità e media
- Produzione ed energia
- Servizi finanziari
LAPSUS$ vittime conosciute
Tra le vittime degne di nota ci sono:
- Okta: Violazione dei sistemi di gestione degli accessi alle identità
- Microsoft: Codice sorgente infiltrato
- NVIDIA: Furto di credenziali seguito da fuga di dati dei dipendenti
- Samsung: Codice sorgente e fuga di dati interni
- Uber: violazione legata all'ingegneria sociale e all'abuso di MFA
Metodo di attacco LAPSUS$
In genere vengono acquisite tramite credenziali acquistate, scambio di SIM, social engineering (ad esempio, impersonando gli utenti attraverso gli help desk) o reclutando insider.
Sfrutta vulnerabilità non patchate in applicazioni come JIRA, GitLab o Confluence per aumentare i privilegi.
Utilizza credenziali valide, manipolazione DNS e replay di token per non essere individuato.
Utilizza Mimikatz, RedLine Stealer, ntdsutil e DCSync per scaricare le credenziali e accedere ai token di sessione.
Utilizza AD Explorer, cerca nelle piattaforme (Confluence, GitHub, Slack) credenziali aggiuntive o dati sensibili.
Si muove all'interno di ambienti compromessi utilizzando accessi VPN/RDP/VDI e account cloud compromessi.
Raccoglie credenziali, traffico e-mail, codice sorgente, comunicazioni interne e dati di collaborazione.
Esegue payload dannosi tramite accesso remoto, esecuzione di script o azioni assistite da insider.
Carica file sensibili, screenshot e documenti interni su piattaforme controllate dagli attori o siti di fuga di notizie.
Interrompe le operazioni attraverso la cancellazione dei dati, l'interruzione dei servizi, il dirottamento del DNS e le fughe di notizie ad alta visibilità.
In genere vengono acquisite tramite credenziali acquistate, scambio di SIM, social engineering (ad esempio, impersonando gli utenti attraverso gli help desk) o reclutando insider.
Sfrutta vulnerabilità non patchate in applicazioni come JIRA, GitLab o Confluence per aumentare i privilegi.
Utilizza credenziali valide, manipolazione DNS e replay di token per non essere individuato.
Utilizza Mimikatz, RedLine Stealer, ntdsutil e DCSync per scaricare le credenziali e accedere ai token di sessione.
Utilizza AD Explorer, cerca nelle piattaforme (Confluence, GitHub, Slack) credenziali aggiuntive o dati sensibili.
Si muove all'interno di ambienti compromessi utilizzando accessi VPN/RDP/VDI e account cloud compromessi.
Raccoglie credenziali, traffico e-mail, codice sorgente, comunicazioni interne e dati di collaborazione.
Esegue payload dannosi tramite accesso remoto, esecuzione di script o azioni assistite da insider.
Carica file sensibili, screenshot e documenti interni su piattaforme controllate dagli attori o siti di fuga di notizie.
Interrompe le operazioni attraverso la cancellazione dei dati, l'interruzione dei servizi, il dirottamento del DNS e le fughe di notizie ad alta visibilità.
TTP utilizzati da LAPSUS$
Come rilevare LAPSUS$ con Vectra AI
DOMANDE FREQUENTI
LAPSUS$ utilizza la crittografia ransomware?
No. In genere LAPSUS$ non cripta i sistemi. Utilizza invece il furto di dati, le fughe di notizie pubbliche e la pressione sociale come metodo di estorsione.
Come ottiene l'accesso iniziale LAPSUS$?
Spesso acquistano le credenziali dai broker di accesso, utilizzano lo scambio di SIM o reclutano addetti ai lavori per ottenere l'accesso.
Cosa rende LAPSUS$ diverso dai gruppi di criminali informatici tradizionali?
La loro enfasi sul caos, sulla notorietà e sullo spettacolo pubblico, piuttosto che sulla furtività o sul guadagno monetario, li distingue.
Come mantengono la persistenza in una rete?
Spesso creano account di amministrazionecloud o manipolano i record DNS per mantenere il controllo.
L'MFA è efficace contro LAPSUS$?
L'MFA di base viene spesso aggirato tramite attacchi MFA fatigue. Le organizzazioni dovrebbero implementare la corrispondenza numerica, FIDO2 o i token hardware.
Quali sono gli strumenti utilizzati da LAPSUS$?
Utilizzano strumenti comuni come Mimikatz, RedLine Stealer, AD Explorer e Metasploit, oltre a script personalizzati.
Sono motivati finanziariamente?
Parzialmente. Tuttavia, le loro richieste di estorsione sono spesso irrealistiche, il che suggerisce che le motivazioni principali sono l'ego, l'influenza e il disturbo.
Dove si trovano i membri di LAPSUS$?
Alcune prove indicano il Portogallo e il Brasile, ma l'offuscamento deliberato rende inaffidabile l'attribuzione.
In che modo le organizzazioni dovrebbero rilevare le intrusioni di tipo LAPSUS$?
Il rilevamento delle attività di LAPSUS$ richiede una visibilità sui comportamenti che va oltre le firme o le regole statiche. Vectra AI fornisce un rilevamento guidato dall'intelligenza artificiale dei comportamenti di attacco in tempo reale, come l'escalation dei privilegi, l'abuso di credenziali, il movimento laterale e l'abuso di identità cloud , che sonoin linea con le TTP LAPSUS$. La sua profonda copertura in ambienti ibridi (tra cui Microsoft 365, Azure AD, AWS e infrastrutture on-prem) lo rende adatto a rilevare l'uso furtivo di credenziali valide, la creazione di account admin non autorizzati e attività sospette legate all'MFA associate a questi attacchi.
Qual è la risposta migliore a un attacco di LAPSUS$?
La risposta migliore comprende il rilevamento precoce, il contenimento rapido e l'indagine automatizzata. Vectra AI supporta questo aspetto dando priorità ai rilevamenti ad alto rischio in base al comportamento osservato dell'aggressore, non solo agli avvisi, e consente ai team di sicurezza di indagare e rispondere più rapidamente utilizzando approfondimenti contestuali e tempistiche di attacco. Grazie alle integrazioni con strumenti SOAR, EDR e SIEM, Vectra aiuta a orchestrare un rapido contenimento, come la disabilitazione degli account compromessi o l'isolamento dei carichi di lavoro interessati, riducendo al minimo i danni derivanti da attacchi di tipo estorsivo come quelli portati avanti da LAPSUS$.