blog

Blog Exabeam parando Lapsus$ em suas trilhas

Exabeam parando Lapsus$ em suas trilhas

Um cliente da Exabeam usou o Fusion SIEM para identificar, investigar e remover o evasivo grupo de hackers criminosos Lapsus$ de seu ambiente.

Lapsus$ é uma gangue criminosa de hackers que tem sido notícia ultimamente devido a uma série de ataques cibernéticos contra grandes organizações de alto perfil. O grupo Lapsus$ é conhecido por recrutar funcionários por meio de mensagens nas mídias sociais e aplicativos de mensagens seguras, oferecendo a eles dezenas de milhares de dólares por semana para realizar trabalhos internos. Assim, além dos invasores já poderem comprar credenciais online, agora os funcionários são cúmplices voluntários desses crimes que prometem grandes recompensas para eles.

É isso que torna os ataques Lapsus$ tão difíceis de detectar, a intrusão parece vir de dentro. Quando as credenciais são roubadas ou compradas e usadas para mover dentro de uma organização, quase todas as equipes de segurança não conseguem detectar comportamentos anormais associados a credenciais legítimas.

As detecções de usuários notáveis ​​do Exabeam Advanced Analytics foram responsáveis ​​por trazer à tona o usuário comprometido. O comportamento do usuário comprometido foi detectado no ambiente e foi sinalizado como notável, significando que o comportamento se destacou como algo incomum que precisava ser investigado pelo analista de SOC.

Os comportamentos incomuns que acionaram alertas foram:

  • Viagem impossível (infraestrutura de desktop virtual (VDI) do País A + País B)
  • Um número anormal de sistemas conectados para o usuário
  • Rede anônima (origem de Login)

As detecções da Exabeam elevaram a pontuação de risco deste funcionário para um Usuário Notável e necessitaram de uma investigação mais aprofundada. Os investigadores rapidamente descobriram mensagens dele para Lapsus$, confirmando que o funcionário provavelmente foi pago por suas credenciais.

Esse cliente investiu fortemente em detecção e resposta de endpoint (EDR) e gerenciamento tradicional de informações e eventos de segurança (SIEM), mas sabia que precisava de análise de comportamento de usuário e entidade (UEBA) para fornecer uma visão abrangente baseada em risco em uma grande base de funcionários para seu SOC global.

A Exabeam ajuda as equipes de segurança a detectar credenciais comprometidas . Ao aplicar o aprendizado de máquina e a análise do comportamento do usuário, a Exabeam cria uma linha de base do comportamento normal para cada usuário e ativo. Assim, quando ocorrem comportamentos estranhos que indicam uma conta comprometida, é detectado automaticamente e elevado a pontuação de risco, independentemente dos TTPs dos invasores. Uma vez que você tenha uma compreensão do normal para o seu ambiente, os modelos comportamentais podem distinguir claramente a atividade.

Uma vez dentro, os invasores geralmente se concentram no escalonamento de privilégios para elevar o acesso, mover-se lateralmente para encontrar ativos de alto valor e exfiltrar os dados. Com privilégios mais altos, os invasores podem fazer coisas como manipular o diretório ativo de uma organização, criar ou excluir contas ou modificar a associação e as permissões do grupo. O Exabeam detecta a manipulação da conta identificando o comportamento anormal do usuário e outras atividades incomuns, como se esconder atrás de contas do sistema.

Contato

Entre em contato

Telefone

(11) 4270-0133

Whatsapp

(11) 97455-0304

E-mail

contato@it4us.com.br

Endereços

Rua Olimpiadas 205 Conjunto 41 - Vila Olímpia

Rua Soriano de Souza 189 - Tatuapé - Salas 111 - 112 - 113

Precisa de ajuda?