En los últimos días los expertos en ciberseguridad no dejan de hablar de Lapsus$, un grupo de ciberdelincuentes que se ha ganado su reciente y siniestra fama a golpe de robo de datos en algunas de las más importantes empresas tecnológicas del mundo. Entre sus víctimas están Nvidia, Ubisoft, Vodafone, Samsung, Mercado Libre y Microsoft. Esta última confirmaba este martes que la banda, especializada en ciberataques con ransomware, le había robado 37 GB con código fuente de su navegador Bing y su asistente digital Cortana.
Sus acciones delictivas también han tenido como blanco a Okta, una empresa que ofrece servicios de verificación de identidad a terceras compañías, a uno de los mayores grupos de medios de comunicación de Portugal y al Ministerio de Salud de Brasil.
Aunque aún no está clara la motivación que hay detrás de sus ataques, todos de alto perfil, los expertos en ciberseguridad sospechan que se mueven por dinero y notoriedad. Su principal modus operandi es hackear grandes empresas, robar sus datos y amenazarles con publicarlos a menos que se les pague un rescate. Pero no siempre. A Nvidia, por ejemplo, no le pidieron dinero sino liberar el código fuente de los drivers de sus tarjetas gráficas y eliminar las restricciones que ha impuesto a la hora de usarlas para minar criptomonedas.
En lo que sí parecen avanzar las investigaciones es sobre quién o quienes están detrás de Lapsus$ y otros detalles acerca de su manera de operar. Este jueves Bloomberg informó de que cuatro expertos en ciberseguridad que investigan al grupo en nombre de las empresas atacadas estaban convencidos de que un adolescente de 16 años que vive con su madre cerca de Oxford (Inglaterra) es el cerebro detrás de Lapsus$. Y ello pese a que no le han podido vincular de manera concluyente con todos los hackeos reclamados por el grupo.
Los investigadores habían utilizado evidencias forenses de los ataques, así como información pública disponible para relacionar al joven, que se hace llamar “White” y “Breachbase” en la red, con la banda. Pero sospechaban que otro adolescente que reside en Brasil pertenece también al grupo, y daban por hecho que había más personas involucradas pues habían llegado a identificar siete cuentas únicas asociadas con Lapsus$.
Ayer por la tarde, la policía de Londres detuvo a siete adolescentes tras descubrir presuntas conexiones con este grupo. Según la BBC, que avanzó la noticia, los arrestados, con edades entre 16 y 21 años, fueron después puestos en libertad bajo investigación. La policía continúa con sus pesquisas.
El joven al que se acusa de ser el cerebro presuntamente ha amasado una fortuna de 14 millones de dólares. Según los investigadores que citaba Bloomberg, es tan rápido actuando que inicialmente pensaron que la actividad delictiva que estaban observando estaba automatizada.
Sin embargo, y pese a las habilidades demostradas por el grupo, parece que dar con estos jóvenes no ha sido demasiado complicado debido a que cuentan con una seguridad operativa deficiente. La propia Microsoft aseguró en su blog que a diferencia de la mayoría de los grupos [de ciberdelincuentes] que permanecen bajo el radar, Lapsus$ no parece esconder sus huellas.
Así, además de utilizar técnicas tradicionales de ingeniería social (tratando, por ejemplo, de engañar a empleados de empresas con llamadas telefónicas), “van tan lejos que incluso llegan a anunciar sus ataques en las redes sociales y a publicitar su intención de comprar credenciales de empleados de las organizaciones objetivo [para utilizarlas como puerta de entrada a los servidores de las compañías]”, dijo el gigante de Redmond.
Bloomberg también detalló que el hacker jefe adolescente ha tenido información personal, incluida su dirección e información sobre sus padres, publicada en la red. Mucha de esa información desvelada por hackers rivales. Además, el grupo de ciberdelincuentes compartía sus objetivos en un canal de Telegram que tiene más de 45.000 seguidores. Microsoft reconoció, de hecho, que pudo interrumpir la descarga de su código porque Lapsus$ habló de ello públicamente en Telegram antes de completar la descarga.
Esta falta de discreción que ha ayudado a acelerar en la investigación podría ser el fin de la banda. O no, pues el prolífico grupo de hackers tras Laspus$ parece tener su sede en América Latina. Y se desconoce cuántas personas lo componen. De momento, este miércoles el grupo informaba a través de su canal en Telegram que algunos de sus miembros tienen “vacaciones hasta el 30/3/22”. “Gracias por entendernos. Intentaremos filtrar cosas lo antes posible”, decía el mensaje.
El padre del joven cerebro del grupo le dijo a la BBC que su familia estaba muy preocupada y estaban tratando de mantenerle alejado de los ordenadores. El adolescente, cuyo nombre no ha sido desvelado por ser menor de edad, asiste a una escuela de educación especial en Oxford, pues según la cadena británica es autista. “Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado el de ningún hackeo, pero es muy bueno con los ordenadores y se pasa mucho tiempo con ellos. Siempre pensé que estaba jugando”, añadió el padre.
Múltiples técnicas para lograr el botín
Soborno. Las técnicas utilizadas por los miembros de Lapsus$ para atacar sus objetivos son múltiples. Además de usar la ingeniería social, sobornando o engañando a los empleados de las organizaciones objetivo o de los socios de estas, también pagan a empleados o personas que tengan información privilegiada de las empresas para que les sirvan de puerta de entrada a los sistemas informáticos de las mismas.
Redes. Fuentes consultadas por krebsOnSecurity aseguran que este grupo de ciberdelincuentes ha estado reclutando personas con información privilegiada de las empresas a las que querían atacar a través de múltiples redes sociales desde al menos noviembre de 2021. El año pasado, en Reddit ofrecían a los empleados de AT&T, T-Mobile y Verizon hasta 20.000 dólares por semana para realizar “trabajos internos”.
Tarjeta SIM. Precisamente, el grupo ha utilizado en ocasiones la técnica de SIM swapping para obtener acceso a cuentas clave en las organizaciones objetivo. Esta consiste en robar la identidad de una persona duplicando su tarjeta SIM del móvil. Otras veces han instalado el malware de robo de contraseñas Redline o han recurrido a la búsqueda de credenciales expuestas en repositorios de código público.
Extorsión. Se cree que uno de los miembros de Lapsus$ estuvo involucrado en un ataque a Electronic Arts el año pasado. Los extorsionadores le exigieron un pago a cambio de no publicar 780 GB de código fuente.
Source link