🎙ראיון עם קבוצת התקיפה $LAPSUS - בלעדי לערוץ חדשות סייבר 🛡️

➖➖➖➖➖➖➖

ש: בעבר פעלתם יחד עם ShinyHunters תחת השם Scattered LAPSUS$ Hunters, אבל כעת נראה שאתם שוב פועלים בנפרד עם אתרי הדלפות שונים - מה קרה שם, ולמה התפצלתם?

ת: מעולם לא היינו בעלי ברית של ShinyHunters. בפועל, הם כבר לא מה שהם היו במקור. ג'יימס פשוט השתלט על זה.
כיום, הם בעיקר מתחזים שמנסים לנצל שם שכבר לא שייך להם.

ש: TeamPCP הפיצה עדכונים זדוניים דרך ספריות לגיטימיות ופופולריות כמו Trivy, LiteLLM ו-Telnyx - עד כמה לדעתכם שרשרת האספקה היא שברירית, ועד כמה רחוק עוד אפשר לקחת את זה?

ת: ברור שההשפעה הייתה יכולה להיות גדולה הרבה יותר אם הכלים היו "מלוטשים" יותר. זה היה מאפשר התפשטות רחבה משמעותית. אבל החלק הזה לא היה בשליטתנו.
מאז, יחד עם TeamPCP, ארגנו מחדש את התשתית הפנימית שלנו כדי למנוע מצב כזה בעתיד.

ש: אנחנו רואים שקבוצת TeamPCP עברה לשלב שבו היא מנסה להרוויח כסף מהמתקפות תוך שיתוף פעולה אתכם ועם קבוצות אחרות.
איך השותפות הזאת עובדת בפועל?

ת: בתחילה, שיתוף הפעולה היה רק בין LAPSUS$ ל-TeamPCP. בהמשך הם גם התחילו לעבוד עם Vect, שבסופו של דבר המידע שאספה נגנב על ידי גורמים שהתחזו ל-ShinyHunters...

באשר לשיתוף הפעולה שלנו עם TeamPCP, זה דיי מסודר: הם טיפלו בהיבטים הטכניים, אנחנו מקבלים גישה, ועכשיו אנחנו מתמקדים בניצול.
כמה מטרות כבר הותקפו, ועוד קרבנות יושפעו בהמשך.

ש: הפריצה ל-Rockstar ול-GTA 6 מיוחסת ל-Arion Kurtaj, שכעת נמצא תחת צו אשפוז ללא הגבלת זמן - עד כמה הוא היה דמות מרכזית ב-LAPSUS$, וכיצד המעצר שלו שינה את אופן הפעולה של שאר הקבוצה?

ת: אני לא יכול לענות על השאלה הזאת.

ש: ה-FBI שם את LAPSUS על הכוונת, משטרת לונדון עצרה שבעה בני נוער במרץ 2022, והמשטרה הפדרלית בברזיל פתחה במבצע Dark Cloud עם מעצרים נוספים...
איך זה משפיע על הפעילות שלכם?

ת: כל מעצר משפיע על הפעילות שלנו. זה בדיוק מה שהוביל לתקופה ממושכת של חוסר פעילות. אבל עכשיו חזרנו. מה שיבוא בהמשך כבר ידבר בעד עצמו.

ש: הפכתם למוכרים גם בזכות גיוס של Insiders באופן גלוי, תוך הצעת תשלומים גבוהים עבור גישה ל-VPN וכו'.
איך אתם מחליטים על מי אפשר לסמוך, ועד כמה אמיתי החשש שאחד מה-Insiders הוא בעצם מסתנן של גופי אכיפה?

ת: אנחנו סומכים רק על אנשים שיכולים להוכיח באופן ממשי שהם Insiders אמיתיים.
הסיכון תמיד קיים, אבל זה לא משהו שבאמת משפיע על ההחלטות שלנו או מטריד אותנו, אנחנו קבוצה די סגורה.

ש: היה לכם מתקפות נגד מטרות גדולות כמו Microsoft, Okta, Uber וכו'.
אילו טכניקות התבררו כדרך הכניסה הכי טובה עבורכם, ומה ממשיך לגרום לעובדים ליפול בזה?

ת: השיטות היעילות ביותר במשך זמן רב היו MFA ו- Sim Swapping.
כיום, אנחנו מסתמכים יותר גם על Insiders וגם על טכניקות של שיחות טלפון.
עם המידע שיש לנו היום, שהושג ממתקפות שרשרת אספקה, הגישה שלנו כיום טכנית יותר ופחות הנדסה חברתית.

ש: איך אתם רואים את LAPSUS$ מתפתחת בשנתיים הקרובות, ומה, אם בכלל, יגרום לכם לעצור?

ת: ההתפתחות שלנו תימשך באותו כיוון: נראות, השפעה ושיתופי פעולה, במיוחד עם TeamPCP. נמשיך לחשוף ולסחוט חברות.

הדבר היחיד שבאמת יכול לעצור אותנו הוא שינוי מלא בגישה המחשבתית של גופים וארגונים, מה שלא סביר שיקרה.

ש: מה נתן לכם השראה לבחור בדרך הזו?

ת: כסף והנאה, פשוט כך.

ש: האם אתם משתמשים ב-AI במסגרת הפעילות שלכם, ואם כן, איך זה מסייע לכם בשרשרת התקיפה?

ת: אנחנו כמעט שלא משתמשים ב-AI בפעילות שלנו.
משתמשים בעיקר כדי לארגן ולמיין את המידע שאנחנו משיגים.

ש: משהו אחרון שתרצו להגיד לעוקבים בערוץ?

ת: Insiders ורוכשים מוזמנים תמיד. צרו איתנו קשר....
(ארז: כמובן שאני מציע להימנע מלעשות זאת 😊)

https://t.me/CyberSecurityIL/8722

- תוכן שיווקי -

נטרו מידע מהדבקות Infostealers על כתובות מיילים, שמות משתמשים, ואפילו אתרים בחינם לגמרי!

מספר מחקרים שיצאו בשנה האחרונה מציעים על עלייה משמעותית בשימוש ב-Infostealers ע"י קבוצות תקיפה שונות, ואנו רואים את התוצאות בשטח עם מתקפות רחבות על חברות, ארגונים ומשתמשים פרטיים.

חברת האדסון רוק, שמנטרת ומתריעה על זיהוי של Infostealers, מאפשרת לכם לנטר בחינם לגמרי שלושה דומיינים, שלושה כתובות דוא"ל ושלושה שמות משתמשים, ולקבל התראות בזמן אמת אם נתוני ההזדהות של הנ"ל דלפו באמצעות Infostealer.

תסגרו לתוקפים את שער הכניסה לפני שהם נכנסים פנימה 🛡

ההרשמה בחינם דרך האתר ⬇️
https://www.hudsonrock.com
Customer Login > Website Monitor

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

זה משוגע לגמרי 🤯

חברת Drift, שפרויקט הקריפטו שלה נפרץ לאחרונה ע"י צפון קוריאה, מפרסמת מאמר חלקי אבל מרתק על איך המתקפה התחילה...
(כזכור, במתקפה נגנבו מטבעות דיגיטליים בשווי של כ-280 מיליון דולר.)

לפי הדיווח של Drift מדובר במתקפה מחושבת ומתוחכמת במיוחד שנמשכה לאורך זמן.

התוקפים התחילו את המתקפה כבר בשנה שעברה, כאשר בכנס קריפטו שנערך ב-2025, התוקפים פנו פיזית לחלק מהמפתחים המרכזיים של Drift במסווה של חברת מסחר המעוניינת להתממשק לפרוטוקול של Drift.

התוקפים המשיכו להיפגש פיזית עם אותן דמויות מפתח בפרויקט במספר הזדמנויות, בכנסים שונים בתחום הקריפטו ובמדינות שונות מסביב לעולם תוך שהם מחזקים מולם את הקשרים.

לפי Drift התוקפים היו מקצועיים, סופר טכניים, עם היסטוריה מקצועית מוכחת, תוך שהם מפגינים בקיאות בהבנה של איך פרוטוקול Drift פועל.

מיד אחרי הפגישה הראשונה הם הקימו קבוצת טלגרם משותפת, שם דנו יחד עם Drift כיצד יתבצע החיבור בין חברת המסחר שלהם לפרוטוקול, בהיבטים הטכניים וכו', שיחות שנמשכו מספר חודשים.

הקשר נמשך גם במהלך פברואר-מרץ 2026, כולל מפגשים פיזיים, שיתופי פעולה ועוד.

ב-1.4.26, כשהמתקפה יצאה לפועל והמיליונים נגנבו, הושבתה קבוצת הטלגרם וכל התקשורת מול אותה "חברת מסחר" נעלמה.

לפי Drift היו שלושה ווקטורים דרכם נכנסו התוקפים:

1. קוד זדוני ברפו שהועבר לצוות של Drift ואחד המפתחים של Drift עשה לזה Clone.

2. אפליקציית Wallet שאחד המפתחים של Drift התבקש להוריד דרך Test Flight כדי לבדוק את המוצר של "חברת המסחר"

3. חולשה ב-Vscode ו-Cursor שמאפשרת הרצת קוד זדוני רק בפתיחה של קובץ או פרויקט...

המאמר המלא כאן.

https://t.me/CyberSecurityIL/8728

- תוכן שיווקי -

חג פסח שני שמח מ-CyberSafe 🌿

היום זה OpIsrael ותזכורת טובה לכך בסייבר, לא תמיד נופלים ממכה אחת גדולה.
לפעמים זה מתחיל דווקא מהדברים הקטנים:

⏺ גישה שנשארה פתוחה
⏺ התראה שלא נבדקה
⏺ לוג שאף אחד לא חיבר לתמונה המלאה

ככה בדיוק מתחילים אירועים אמיתיים.

ה-SOC של CyberSafe לא מחכה לנזק.
הוא מזהה חריגות, מחבר בין הסימנים, ופועל לפני שהרעש הופך למשבר 🛡

בימים כאלה במיוחד, השאלה היא לא אם ינסו - אלא אם תדעו לזהות בזמן.

📩 sales@cybersafe.co.il
📞 מורן | 077-5509948
🌐 cybersafe.co.il

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי