🎙ראיון עם קבוצת התקיפה $LAPSUS - בלעדי לערוץ חדשות סייבר 🛡️

➖➖➖➖➖➖➖

ש: בעבר פעלתם יחד עם ShinyHunters תחת השם Scattered LAPSUS$ Hunters, אבל כעת נראה שאתם שוב פועלים בנפרד עם אתרי הדלפות שונים - מה קרה שם, ולמה התפצלתם?

ת: מעולם לא היינו בעלי ברית של ShinyHunters. בפועל, הם כבר לא מה שהם היו במקור. ג'יימס פשוט השתלט על זה.
כיום, הם בעיקר מתחזים שמנסים לנצל שם שכבר לא שייך להם.

ש: TeamPCP הפיצה עדכונים זדוניים דרך ספריות לגיטימיות ופופולריות כמו Trivy, LiteLLM ו-Telnyx - עד כמה לדעתכם שרשרת האספקה היא שברירית, ועד כמה רחוק עוד אפשר לקחת את זה?

ת: ברור שההשפעה הייתה יכולה להיות גדולה הרבה יותר אם הכלים היו "מלוטשים" יותר. זה היה מאפשר התפשטות רחבה משמעותית. אבל החלק הזה לא היה בשליטתנו.
מאז, יחד עם TeamPCP, ארגנו מחדש את התשתית הפנימית שלנו כדי למנוע מצב כזה בעתיד.

ש: אנחנו רואים שקבוצת TeamPCP עברה לשלב שבו היא מנסה להרוויח כסף מהמתקפות תוך שיתוף פעולה אתכם ועם קבוצות אחרות.
איך השותפות הזאת עובדת בפועל?

ת: בתחילה, שיתוף הפעולה היה רק בין LAPSUS$ ל-TeamPCP. בהמשך הם גם התחילו לעבוד עם Vect, שבסופו של דבר המידע שאספה נגנב על ידי גורמים שהתחזו ל-ShinyHunters...

באשר לשיתוף הפעולה שלנו עם TeamPCP, זה דיי מסודר: הם טיפלו בהיבטים הטכניים, אנחנו מקבלים גישה, ועכשיו אנחנו מתמקדים בניצול.
כמה מטרות כבר הותקפו, ועוד קרבנות יושפעו בהמשך.

ש: הפריצה ל-Rockstar ול-GTA 6 מיוחסת ל-Arion Kurtaj, שכעת נמצא תחת צו אשפוז ללא הגבלת זמן - עד כמה הוא היה דמות מרכזית ב-LAPSUS$, וכיצד המעצר שלו שינה את אופן הפעולה של שאר הקבוצה?

ת: אני לא יכול לענות על השאלה הזאת.

ש: ה-FBI שם את LAPSUS על הכוונת, משטרת לונדון עצרה שבעה בני נוער במרץ 2022, והמשטרה הפדרלית בברזיל פתחה במבצע Dark Cloud עם מעצרים נוספים...
איך זה משפיע על הפעילות שלכם?

ת: כל מעצר משפיע על הפעילות שלנו. זה בדיוק מה שהוביל לתקופה ממושכת של חוסר פעילות. אבל עכשיו חזרנו. מה שיבוא בהמשך כבר ידבר בעד עצמו.

ש: הפכתם למוכרים גם בזכות גיוס של Insiders באופן גלוי, תוך הצעת תשלומים גבוהים עבור גישה ל-VPN וכו'.
איך אתם מחליטים על מי אפשר לסמוך, ועד כמה אמיתי החשש שאחד מה-Insiders הוא בעצם מסתנן של גופי אכיפה?

ת: אנחנו סומכים רק על אנשים שיכולים להוכיח באופן ממשי שהם Insiders אמיתיים.
הסיכון תמיד קיים, אבל זה לא משהו שבאמת משפיע על ההחלטות שלנו או מטריד אותנו, אנחנו קבוצה די סגורה.

ש: היה לכם מתקפות נגד מטרות גדולות כמו Microsoft, Okta, Uber וכו'.
אילו טכניקות התבררו כדרך הכניסה הכי טובה עבורכם, ומה ממשיך לגרום לעובדים ליפול בזה?

ת: השיטות היעילות ביותר במשך זמן רב היו MFA ו- Sim Swapping.
כיום, אנחנו מסתמכים יותר גם על Insiders וגם על טכניקות של שיחות טלפון.
עם המידע שיש לנו היום, שהושג ממתקפות שרשרת אספקה, הגישה שלנו כיום טכנית יותר ופחות הנדסה חברתית.

ש: איך אתם רואים את LAPSUS$ מתפתחת בשנתיים הקרובות, ומה, אם בכלל, יגרום לכם לעצור?

ת: ההתפתחות שלנו תימשך באותו כיוון: נראות, השפעה ושיתופי פעולה, במיוחד עם TeamPCP. נמשיך לחשוף ולסחוט חברות.

הדבר היחיד שבאמת יכול לעצור אותנו הוא שינוי מלא בגישה המחשבתית של גופים וארגונים, מה שלא סביר שיקרה.

ש: מה נתן לכם השראה לבחור בדרך הזו?

ת: כסף והנאה, פשוט כך.

ש: האם אתם משתמשים ב-AI במסגרת הפעילות שלכם, ואם כן, איך זה מסייע לכם בשרשרת התקיפה?

ת: אנחנו כמעט שלא משתמשים ב-AI בפעילות שלנו.
משתמשים בעיקר כדי לארגן ולמיין את המידע שאנחנו משיגים.

ש: משהו אחרון שתרצו להגיד לעוקבים בערוץ?

ת: Insiders ורוכשים מוזמנים תמיד. צרו איתנו קשר....
(ארז: כמובן שאני מציע להימנע מלעשות זאת 😊)

https://t.me/CyberSecurityIL/8722

- תוכן שיווקי -

נטרו מידע מהדבקות Infostealers על כתובות מיילים, שמות משתמשים, ואפילו אתרים בחינם לגמרי!

מספר מחקרים שיצאו בשנה האחרונה מציעים על עלייה משמעותית בשימוש ב-Infostealers ע"י קבוצות תקיפה שונות, ואנו רואים את התוצאות בשטח עם מתקפות רחבות על חברות, ארגונים ומשתמשים פרטיים.

חברת האדסון רוק, שמנטרת ומתריעה על זיהוי של Infostealers, מאפשרת לכם לנטר בחינם לגמרי שלושה דומיינים, שלושה כתובות דוא"ל ושלושה שמות משתמשים, ולקבל התראות בזמן אמת אם נתוני ההזדהות של הנ"ל דלפו באמצעות Infostealer.

תסגרו לתוקפים את שער הכניסה לפני שהם נכנסים פנימה 🛡

ההרשמה בחינם דרך האתר ⬇️
https://www.hudsonrock.com
Customer Login > Website Monitor

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

זה משוגע לגמרי 🤯

חברת Drift, שפרויקט הקריפטו שלה נפרץ לאחרונה ע"י צפון קוריאה, מפרסמת מאמר חלקי אבל מרתק על איך המתקפה התחילה...
(כזכור, במתקפה נגנבו מטבעות דיגיטליים בשווי של כ-280 מיליון דולר.)

לפי הדיווח של Drift מדובר במתקפה מחושבת ומתוחכמת במיוחד שנמשכה לאורך זמן.

התוקפים התחילו את המתקפה כבר בשנה שעברה, כאשר בכנס קריפטו שנערך ב-2025, התוקפים פנו פיזית לחלק מהמפתחים המרכזיים של Drift במסווה של חברת מסחר המעוניינת להתממשק לפרוטוקול של Drift.

התוקפים המשיכו להיפגש פיזית עם אותן דמויות מפתח בפרויקט במספר הזדמנויות, בכנסים שונים בתחום הקריפטו ובמדינות שונות מסביב לעולם תוך שהם מחזקים מולם את הקשרים.

לפי Drift התוקפים היו מקצועיים, סופר טכניים, עם היסטוריה מקצועית מוכחת, תוך שהם מפגינים בקיאות בהבנה של איך פרוטוקול Drift פועל.

מיד אחרי הפגישה הראשונה הם הקימו קבוצת טלגרם משותפת, שם דנו יחד עם Drift כיצד יתבצע החיבור בין חברת המסחר שלהם לפרוטוקול, בהיבטים הטכניים וכו', שיחות שנמשכו מספר חודשים.

הקשר נמשך גם במהלך פברואר-מרץ 2026, כולל מפגשים פיזיים, שיתופי פעולה ועוד.

ב-1.4.26, כשהמתקפה יצאה לפועל והמיליונים נגנבו, הושבתה קבוצת הטלגרם וכל התקשורת מול אותה "חברת מסחר" נעלמה.

לפי Drift היו שלושה ווקטורים דרכם נכנסו התוקפים:

1. קוד זדוני ברפו שהועבר לצוות של Drift ואחד המפתחים של Drift עשה לזה Clone.

2. אפליקציית Wallet שאחד המפתחים של Drift התבקש להוריד דרך Test Flight כדי לבדוק את המוצר של "חברת המסחר"

3. חולשה ב-Vscode ו-Cursor שמאפשרת הרצת קוד זדוני רק בפתיחה של קובץ או פרויקט...

המאמר המלא כאן.

https://t.me/CyberSecurityIL/8728

- תוכן שיווקי -

חג פסח שני שמח מ-CyberSafe 🌿

היום זה OpIsrael ותזכורת טובה לכך בסייבר, לא תמיד נופלים ממכה אחת גדולה.
לפעמים זה מתחיל דווקא מהדברים הקטנים:

⏺ גישה שנשארה פתוחה
⏺ התראה שלא נבדקה
⏺ לוג שאף אחד לא חיבר לתמונה המלאה

ככה בדיוק מתחילים אירועים אמיתיים.

ה-SOC של CyberSafe לא מחכה לנזק.
הוא מזהה חריגות, מחבר בין הסימנים, ופועל לפני שהרעש הופך למשבר 🛡

בימים כאלה במיוחד, השאלה היא לא אם ינסו - אלא אם תדעו לזהות בזמן.

📩 sales@cybersafe.co.il
📞 מורן | 077-5509948
🌐 cybersafe.co.il

---------------------------------
מעוניינים לפרסם בערוץ? דברו איתי

🔥הפסקת אש? בא נסכם מה היה לנו עד עכשיו במרחב הסייבר במהלך מבצע "שאגת הארי".

1. במהלך המבצע פורסמו כ-1,300 מתקפות סייבר כנגד ארגונים בישראל.
המתקפות פורסמו בעיקר בטלגרם, באתרים של תוקפים, בפורומים וכו'. שימו לב שהמידע בפוסט הזה מתייחס רק למתקפות שפורסמו ושעקבתי אחריהן.

2. למעלה מ-100 קבוצות תקיפה לקחו חלק בפעילות ההתקפית נגד ישראל.

3. רוב הקבוצות היו עסוקות במתקפות שהיו כמעט חסרות משמעות כמו דידוס, השחתה ומיחזור של מידע שדלף כבר בעבר.

4. בראש הנחש עמדה כמובן איראן שהובילה את מתקפות הסייבר על ישראל (ולא רק...)

5. בין הקבוצות האיראניות, שלקחו חלק במתקפות על ישראל וגופים נוספים בעולם, ניתן למצוא את קבוצת הנדלה, Homeland Justice, בני ישמעאל, Anonymous For Justice, Ababil of Minab, APT iran, ועוד.

6. האיראנים ושות' ביצעו מספר סוגים של מתקפות:

6.1 מחיקת מידע מארגונים:
אנונימוס פרסמו מחיקת מידע מכ-35 ארגונים.
הנדלה פרסמה מחיקת מידע של עוד 14 ארגונים.
אני קיבלתי בפרטי דיווחים על ארגונים נוספים שהמידע שלהם נמחק ולא מופיעים ברשימות הנ"ל.
המספרים מסתדרים עם הדיווח של מערך הסייבר על כ-50 ארגונים שנפגעו.

6.2 דלף מידע מגופים ואישים בכירים בישראל:
כאן פעלה בעיקר הנדלה תוך שהיא מתמקדת באישים בכירים מתחום הביטחון, מכון INSS, ועוד כמה גופים עסקיים.

6.3 מתקפות על ארגונים במדינות נוספות בהקשר של המלחמה:
כך לדוגמה קבוצות הנדלה, APT Iran ו-Minab תקפו גופים בארה"ב, קבוצת Homeland Justice תקפה גופי ממשל באלבניה, ועוד.

7. כצפוי, פעולות הסייבר ההתקפיות של ישראל כמעט ולא מתפרסמות, ישראל עסוקה בהשפעה תכלס ולא ביח"צ ולכן רב הנסתר על הגלוי.
במהלך המלחמה פירסמתי דיווח על שיבושים בבנקים באיראן ועל השמדה של מתקנים, בניינים וגורמי משטר שהיו קשורים למרחב הסייבר האיראני.

8. מצ"ב גרף מעודכן, שמציג מגמה של כמות המתקפות שפורסמו בכל יום.

9. אתם אוהבים אתרים, אז ביקשתי מ-Manus שיכין גם אתר לסיכומון הזה.

https://t.me/CyberSecurityIL/8741

כמה נקודות לגבי TeamPCP, קבוצת LAPSUS וכו'...

ניסיתי להבין קצת יותר מה הסיפור של TeamPCP ומה "יחסי הכוחות" בין הקבוצות שתנהלו סביב המתקפות של שרשרת האספקה.

מצד אחד היו מחקרים שהציגו כי קבוצת TeamPCP הפעילה נוזקת Wiper בשם kamikaze, המוחקת באופן אוטומטי מערכות מחשוב אליהם פרצה במידה והמערכות שייכות לגורם איראני....
אז הקבוצה היא לכאורה אנטי איראנית, או אולי פרו ישראלית?

בנוסף, בחשבון ה-Xוויטר של הקבוצה הקבוצה מציגה כמיקום את "ישראל" ותאריך פתיחת החשבון הוא אוקטובר 2023.
זה קצת מחזק את האפשרות שהקבוצה אולי פרו ישראלית...

מצד שני, הקבוצה פרצה ל-Trivy ששייכת לחברת Aqua, שהיא חברה ישראלית, ומשם הגיעה לחברות נוספות, שחלקן גם כן ישראליות..

אז אולי כל הקטע עם ישראל זה סתם לבלבל את כולם?

דיברתי שוב עם Lapsus כדי לנסות להבין מה הולך שם...

לטענת Lapsus הם אלו שהחזיקו בגישה ל-Trivy מלכתחילה, אבל מאחר והם מתעסקים יותר בגניבת מידע וסחיטה הם העבירו את הגישה בהסכם ל-TeamPCP כדי שאלו ייכתבו את הנוזקה הטכנית שתביא אותם מ-Trivy לכל ה-1000+ ארגונים שנפגעו מהמתקפה....

עוד טוענים ב-Lapsus כי Trivy הייתה נקודת הכניסה לכל השאר, דהיינו, LiteLLM, Checkmarx, Telnyx וכו'. אלו לא היו מתקפות נפרדות אלא חלק מאותה שרשרת...

אז בעצם, אם מה ש-Lapsus אומרים נכון, הם החזיקו בגישה ל-Trivy, העבירו אותה ל-TeamPCP איתם הייתה להם היכרות מוקדמת, ו-TeamPCP ניצלו את הגישה כדי להפיץ את הנוזקה שגונבת טוקנים של מאות ארגונים שונים....
עם הפצת הנוזקה לגניבת טוקנים הם גם ביצעו פעולה אנטי איראנית של זיהוי ומחיקת מידע באופן אוטומטי לכל ארגון איראני, סתם כבונוס/נספח למתקפה הרחבה יותר...

ברגע שהם השיגו את הטוקנים הם העבירו חלק ל-Lapsus, ואלה השתמשו בגישה כדי לגנוב מידע ולהתחיל בתהליך הסחיטה.

שאלתי את לפסוס אם יש קשר כלשהו בין TeamPCP לישראל אבל לטענתם הם לא מכירים קשר כזה 🤷‍♂️

סיפור מעניין, נראה לאן זה יתגלגל ומה עוד ייחשף.

https://t.me/CyberSecurityIL/8742