La policía de la ciudad de Londres dice que ha arrestado a siete adolescentes por sus presuntas conexiones con el grupo de hackers Lapsus$.
El grupo ha realizado campañas de extorsión en el Reino Unido y América del Sur, y ahora se ha expandido a objetivos globales, incluidas organizaciones gubernamentales, tecnológicas, de telecomunicaciones, de medios, minoristas y de atención médica.
Ha asumido la responsabilidad de una serie de violaciones de seguridad de alto perfil en empresas de tecnología, incluidas Nvidia, Samsung, Ubisoft, Okta y Microsoft.
“Siete personas de entre 16 y 21 años han sido arrestadas en relación con una investigación sobre un grupo de piratas informáticos. Todos han sido liberados bajo investigación. Nuestras investigaciones siguen en curso”, dijo la policía de la ciudad de Londres.
El 23 de marzo, Bloomberg informó que un adolescente de 16 años de Oxford, que usa los alias en línea “White” y “Breachbase”, era el autor intelectual del grupo, aunque la policía de la ciudad de Londres no ha comentado si él era uno. de las personas detenidas.
El informe de Bloomberg también dijo que los investigadores “no han podido vincularlo de manera concluyente con todos los ataques que Lapsus$ ha reclamado”, pero agregó que habían estado rastreando a “White” durante casi un año a través de un rastro de actividad vinculado a las cuentas en línea del adolescente.
“Lo hicimos observando el historial de publicaciones de una cuenta y viendo que las publicaciones más antiguas brindan información de contacto para el tipo”, dijo Allison Nixon, directora de investigación de la empresa de investigación de seguridad cibernética Unit 221B.
El padre del adolescente le dijo a la BBC: “Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado de piratería, pero es muy bueno con las computadoras y pasa mucho tiempo en la computadora. Siempre pensé que estaba jugando juegos”. .”
Aunque algunos investigadores han etiquetado a Lapsus$ como una pandilla de ransomware, la Unidad 42 de Palo Alto (que trabajó con la Unidad 221B para rastrear a “White”) señaló en una publicación de blog que el grupo se destacó por no usar ransomware en sus intentos de extorsión.
“En el entorno actual, los actores de amenazas favorecen el uso de ransomware para cifrar datos y sistemas y, a menudo, extorsionan a las víctimas por cantidades significativas de criptomonedas a cambio de claves de descifrado, a veces aumentando la presión con la amenaza de publicar datos robados. Lapsus$, sin embargo, es inusual en su enfoque: para este grupo, la notoriedad parece ser el objetivo más que la ganancia financiera”, dijo, y agregó que Unit 42 ha ayudado a varias organizaciones a responder a múltiples ataques de Lapsus$.
“Lapsus$ Group no emplea malware en los entornos de las víctimas violadas, no cifra los datos y, en la mayoría de los casos, en realidad no emplea la extorsión. Se centran en utilizar una combinación de credenciales robadas e ingeniería social para acceder a las víctimas. También los hemos visto solicitar a los empleados en Telegram sus credenciales de inicio de sesión en empresas específicas en industrias que incluyen telecomunicaciones, software, juegos, proveedores de alojamiento y centros de llamadas”.
La firma de seguridad cibernética Check Point llegó a conclusiones similares en su propia publicación de blog, pero agregó que Lapsus$ mantiene un “grupo de Telegram muy activo” con más de 35,000 suscriptores, donde publica encuestas interactivas sobre quién debería ser su próximo objetivo.
Unit 42 agregó que incluso sin ransomware, los ataques del grupo han sido muy dañinos, con ataques destructivos en los que el actor de amenazas obtuvo acceso a entornos en la nube, borró sistemas y destruyó más de 1,000 máquinas virtuales.
Unit 42 también dijo que la “diversidad de técnicas” del grupo significa que no existe una defensa única contra sus ataques, pero agregar una arquitectura de red de confianza cero y una sólida higiene de seguridad eran la mejor opción.
“Si Lapsus$ ha comprado credenciales para una red, pueden operar efectivamente como una amenaza interna, aprovechando los mismos privilegios que tiene el empleado dentro de la red”, dijo.
“Enfóquese en las mejores prácticas generales de seguridad de la información: autenticación multifactor, controles de acceso y segmentación de red. Asegúrese de que su organización tenga la capacidad de detectar actividad anómala, incluida la actividad que involucre a terceros confiables en sus entornos, y protéjase contra técnicas no técnicas como vishing y SIM-swapping.
“Se debe priorizar el parcheo de los sistemas internos que podrían soportar el movimiento lateral y la escalada de privilegios, así como contra las hazañas públicas conocidas que estos actores podrían emplear”.