Um cliente da Exabeam usou o Fusion SIEM para identificar, investigar e remover o evasivo grupo de hackers criminosos Lapsus$ de seu ambiente.
Lapsus$ é uma gangue criminosa de hackers que tem sido notícia ultimamente devido a uma série de ataques cibernéticos contra grandes organizações de alto perfil. O grupo Lapsus$, conhecido por recrutar funcionários por meio de mensagens nas mídias sociais e aplicativos de mensagens seguras, oferecendo a eles dezenas de milhares de dólares por semana para realizar trabalhos internos. Assim, além dos invasores já poderem comprar credenciais online, agora os funcionários são cúmplices voluntários desses crimes que prometem grandes recompensas para eles.
É isso que torna os ataques Lapsus$ tão difíceis de detectar, a intrusão parece vir de dentro.
Quando as credenciais ocasionalmente, roubadas ou compradas e usadas para mover dentro de uma organização, quase todas as equipes de segurança não conseguem detectar comportamentos anormais associados a credenciais legítimas.
As detecções de usuários notáveis do Exabeam Advanced Analytics, responsáveis por trazer à tona o usuário comprometido. O comportamento do usuário comprometido, dessa forma detectado no ambiente e sinalizado como notável, significando que o comportamento destacou-se como algo incomum que precisa ser investigado pelos analistas de SOC.
Os comportamentos incomuns que acionaram alertas foram:
- Viagem impossível (infraestrutura de desktop virtual (VDI) do País A + País B)
- Um número anormal de sistemas conectados para o usuário
- Rede anônima (origem de Login)
As detecções da Exabeam elevaram a pontuação de risco deste funcionário para um Usuário Notável e necessitaram de uma investigação mais aprofundada. Os investigadores rapidamente descobriram mensagens dele para Lapsus$, confirmando que o funcionário provavelmente foi pago por suas credenciais.
Esse cliente investiu fortemente em detecção e resposta de endpoint (EDR) e gerenciamento tradicional de informações e eventos de segurança (SIEM), mas sabia que precisava de análise de comportamento de usuário e entidade (UEBA) para fornecer uma visão abrangente baseada em risco em uma grande base de funcionários para seu SOC global.
A Exabeam parando Lapsus$ em suas trilhas, ajuda as equipes de segurança a detectar credenciais comprometidas.
Ao aplicar o aprendizado de máquina e a análise do comportamento do usuário, a Exabeam cria uma linha de base do comportamento normal para cada usuário e ativo. Assim, quando ocorre comportamentos estranhos que indica uma conta comprometida, detectado automaticamente e elevado a pontuação de risco, independentemente dos TTPs dos invasores. Uma vez que você tenha uma compreensão do normal para o seu ambiente, os modelos comportamentais podem distinguir claramente a atividade.
Uma vez dentro, os invasores geralmente se concentram no escalonamento de privilégios para elevar o acesso. Mover-se lateralmente para encontrar ativos de alto valor e exfiltrar os dados. Com privilégios mais altos, os invasores podem fazer coisas como manipular o diretório ativo de uma organização. Criar ou excluir contas ou modificar a associação e as permissões do grupo. O Exabeam detecta a manipulação da conta identificando o comportamento anormal do usuário e outras atividades incomuns, como se esconder atrás de contas do sistema.
