Grupo hacker LAPSUS$
Grupo hacker LAPSUS$ – Este grupo fue capaz de hackear a empresas como LG, Samsung, Nvidia, Microsoft, EA, Ubisoft, Mercado Libre, Ministerio de salud de Brasil, Okta, entre otras. Uno de sus miembros identificados, Arion Kurtaj, nacido el 19 de febrero del 2005, un adolescente de actualmente 18 años, de Oxford, Inglaterra, autista (va a un colegio de educación especial) de origen Albano y que le encanta la pesca. Según los investigadores otro de los miembros de LAPSUS$ sería otro adolescente de Brasil. En total serian 5 miembros, y se produjeron varios arrestos por presuntos miembros de LAPSUS$ todos tendrían entre 16 y 21 años.
Historia de LAPSUS$
¿Cómo operaba este grupo? Y vos te preguntaras, como es posible que adolescentes ubicados en diferentes ubicaciones del planeta pueda realizar esto. Sus estragos fueron calificados como un “hackeo histórico” al extraer más de 1 TB de datos confidenciales de las fintech más grandes del mundo, pudiendo acceder a código fuente y diseños tecnológicos.
Fue una gran sorpresa cuando luego de investigaciones se identifica al autor intelectual, siendo que este tenía 16 años y vivía con su madre, aunque no pudieron vincularlo de manera concluyente en todos los ataques.
En un principio de la investigación, los investigadores llegaron a pensar que estos ataques estaban automatizados y que no eran ejecutados por unas pocas personas, ya que se producía todo tan rápido y con tanta habilidad que no llegaban a rastrearlo.
Estos hackeos de Lapsus$ fueron muy variados y hasta sarcásticos, incluso se han unido a las llamadas de zoom de las empresas trasgredidas, donde se burlaban de empleados y consultores que intentaban limpiar el hackeo.
Inclusive Microsoft, reconoció que fue víctima de Lapsus$ en una publicación de su blog, donde explicaron que el grupo se ha embardado en una campaña de ingeniera social y extorsión a gran escala contra múltiples organizaciones. Microsoft nombro al grupo Lapsus$ como “DEV-0537”, y el modus operandi principal es piratear para robar sus datos y exigir un rescate para no divulgarlos. Incluso han reclutado gente interna de las empresas para ayudar en sus ataques.
Grupo hacker LAPSUS$
Lapsus$ solo ha estado activa durante 4 meses, pero aún siguen recibiendo mucha atención y es probable que sigan su actividad. En diciembre del año 2021 crearon su propio canal de Telegram para promocionarse. Los primeros rastros de este grupo sucedieron en mayo 2021 en el foro RaidForums, donde habían divulgado información de empresas hackeadas, una fue SCHLUMBERGER, uno de los proveedores de servicios de yacimientos petrolíferos más grandes del mundo.
Luego de esto 2 meses después subieron una publicación amenazando con haber robado 780 GB de código fuente de EA, la empresa de desarrollo y distribución de juegos de clase mundial ubicada en Estados Unidos.
Luego en octubre de 2021 hackearon el ministerio de Salud de Brasil para luego intimidar por Telegram. Reclutaron personal también por múltiples plataformas, donde sus miembros principales se apodaban “Oklaqq” y “WhiteDoxbin”. Ofrecían a empleados de AT&T y Verizon hasta U$s 20.000 a la semana para realizar trabajos internos.
Funcionamiento de LAPSUS$
Una vez que LAPSUS$ obtenía acceso a las credenciales comprometidas, las utilizaban para iniciar sesión en los dispositivos y sistemas públicos de una empresa.
Estas credenciales las obtenían utilizando los siguientes métodos:
- Instalación de Redline Password Steales para obtener contraseñas y tokens de sesión
- Compra de credenciales y tokens de sesión en foros clandestinos y criminales
- Pagar a los empleados de las organizaciones por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA)
- Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas.
Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a tras de correos electrónicos de Phishing. También relizan ataques de repetición de sesión para cuentas que utilizan MFA o activan notificaciones de MFA continuamente hasta que el usuario se cansa y confirma que debe permitir el iniciar sesión.
Una vez con acceso a la RED los actores de amenazas usan AD Explores para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración como SharePoing, JIRA, Slack, y Microsft Teams. Tambien utilizan estas credenciales para obtener acceso a repositorios de código fuente en GitLab, GitHub, Azure DevOps por ejemplo.
A su vez según consultoras de Ciberseguridad, afirman que este grupo realizaba el intercambio de tarjetas SIM clonadas con el fin de obtener credenciales, donde usaban técnicas de ingeniería social contra empleados y contratistas que trabajan en las principales redes móviles y compañías telefónicas.
Miembros de LAPSUS$
WhiteDoxbin, Arion Kurtaj, es el aparente cabecilla de LAPSUS$, la misma persona que a principios de 2021 compro Doxbin, un sitio web de larga data basado en texto donde cualquiera puede publicar información personal de un objetivo o encontrar datos personales que han sido “doxeados”. El doxing (a veces escrito como doxxing) consiste en revelar información identificadora de una persona en línea, como su nombre real, dirección particular, etc.
Luego de esta compra, otros miembros no estaban muy contentos con la nueva administración, ya que al año de la compra, por enero de 2022, vuelve a ceder el control de Doxbin al propietario anterior. Justo antes de abandonar el foro, WhiteDoxbin filtro todo el conjunto de datos de Doxbin incluidos los dox privados a través de Telegram.
La comunidad de Doxbin respondio ferozmente publicando un dox muy completo sobre WhiteDoxbin, incluidos videos supuestamente filmados por la noche fuera de su casa en el Reino Unido. Según el documento WhiteDoxbin comenzó en el negocio de comprar y vender vulnerabilidades 0-Day y lentamente comenzó a ganar dinero y expandir aun mas su colección de exploits.
No se publicó el nombre real en ese momento de WhiteDoxbin porque es menor de edad y porque esta personal no fue finalmente acusada de ningún delito. Además la entrada de Doxbin para este individuo incluye información personal sobre miembros de su familia.
Grupo hacker LAPSUS$
Nixon dijo que antes de lanzar LAPSUS$, WhiteDoxbin era miembro fundador de un grupo de ciberdelincuentes que se denominaba “Recursion Team”. Según el sitio web ahora desaparecido del grupo, se especializaban principalmente en el intercambio de objetivos de interés de SIM y la participación de Swatting attacks, en los que se llaman a la policía relizando falsas amenazas de bomba, situaciones de rehenes y otros escenarios violentos como parte de un plan para engañar a las víctimas.
El padre del adolescente dijo en una entrevista a la BBC: “Nunca había oído hablar de nada de esto hasta hace muy poco. Nunca ha hablado de hacking informático, pero es muy bueno con las computadoras y pasa mucho tiempo en la computadora. Siempre pensé q estaba jugando juegos” haciendo referencia a Arion.
También se entrevistó a la madre, y dijo que no estaba al tanto de las acusaciones contra su hijo ni de los materiales filtrados. Se mostró molesta porque se filtraron fotos y videos de su casa y la casa del padre. Nunca dejo que su hijo estuviera disponible para ninguna entrevista y afirmo que el problema era asunto de las fuerzas de orden público, y que ella tenía comunicación con la policía.
Aquí se nos plantea una gran incógnita, siendo que hoy en día todo funciona a través de sistemas interconectados, y en donde un grupo de adolescentes logran poner a las empresas más grandes del mundo en estado de alerta, ¿Somos realmente consientes de los peligros que corremos en la web? ¿Tomamos las medidas de seguridad? Yo particularmente creo que hay mucho por mejorar.