Articulo de referencia

Lapso$

Lapsus$ , estilizado como LAPSUS$ y clasificado por Microsoft como Strawberry Tempest , [1] es un grupo internacional de hackers centrado en la extorsión [2] conocido por sus di...

Lapsus$ , estilizado como LAPSUS$ y clasificado por Microsoft como Strawberry Tempest , [1] es un grupo internacional de hackers centrado en la extorsión [2] conocido por sus diversos ciberataques contra empresas y agencias gubernamentales. [3] [4] El grupo estaba activo en varios países y sus miembros fueron arrestados en Brasil y el Reino Unido en 2022. [5] Según la Policía de la Ciudad de Londres, al menos dos de los miembros eran adolescentes.

Lapsus$ utiliza una variedad de vectores de ataque, incluyendo ingeniería social , fatiga de MFA , intercambio de SIM , [6] y apuntar a proveedores. Una vez que el grupo ha obtenido las credenciales de un empleado privilegiado dentro de la organización objetivo, el grupo intenta obtener datos confidenciales a través de una variedad de medios, incluyendo el uso de herramientas de escritorio remoto . A continuación, se realizan intentos de extorsión. Inicialmente, la aplicación de mensajería Telegram se había utilizado para comunicaciones al público, incluyendo el reclutamiento y la publicación de datos confidenciales de sus víctimas. [7]

El primer gran ciberataque atribuido a Lapsus$ fue contra los sistemas informáticos del Ministerio de Salud de Brasil en diciembre de 2021. [8] Lapsus$ ganó notoriedad por una serie de ciberataques contra grandes empresas tecnológicas, incluidas Microsoft , Nvidia y Samsung . Tras estos ataques, la Policía de la Ciudad de Londres anunció que había realizado siete arrestos en relación con una investigación policial sobre Lapsus$. [9] Aunque el grupo había sido considerado inactivo en abril de 2022, se cree que ha resurgido en septiembre de 2022 con una serie de violaciones de datos contra varias grandes empresas a través de un vector de ataque similar, incluidas Uber y Rockstar Games , con arrestos posteriores nuevamente por parte de la Policía de la Ciudad de Londres y la policía brasileña. [5] El grupo parece haberse vuelto inactivo después de septiembre de 2022, y es posible que sus miembros se dispersaran a otros grupos, [5] y la condena de dos miembros británicos. [10] Uno de los miembros fundadores del grupo, Arion Kurtaj, recibió la orden de permanecer indefinidamente en un centro psiquiátrico de seguridad . [11]

Ataques

Ministerio de Salud de Brasil (2021)

El primer ciberataque conocido cometido por Lapsus$ fue contra el Ministerio de Salud de Brasil . El sitio web del Ministerio de Salud fue dado de baja el viernes 10 de diciembre alrededor de la 1 a.m. Lapsus$ dejó un mensaje, "Contáctenos si desea recuperar sus datos", junto con sus direcciones de Telegram y correo electrónico en la página de inicio del sitio web del ministerio [8] después de exfiltrar y eliminar 50 TB de datos en servidores internos. El viernes por la tarde, el mensaje había sido eliminado, pero el sitio web y los datos de los usuarios en la aplicación "ConecteSUS", que proporciona a los brasileños certificados de vacunación contra la COVID, seguían sin estar disponibles, lo que provocó interrupciones para los viajeros. [12]

Octava (2022)

El 21 de enero de 2022, Lapsus$ había obtenido acceso a los servidores de la empresa de gestión de identidad y acceso Okta a través de la cuenta comprometida de un ingeniero de soporte al cliente externo. Okta confirmó la vulneración el 25 de enero de 2022. [13] [14] Según el informe forense final, el director de seguridad de Okta, David Bradbury, dijo que el ataque solo afectó a dos clientes activos. Okta comenzó a investigar las denuncias de un ataque informático después de que Lapsus$ compartiera capturas de pantalla en un canal de Telegram que implicaban que habían violado las redes de clientes de Okta. Inicialmente, Okta dijo que un pirata informático de Lapsus$ obtuvo acceso de Escritorio remoto ( RDP ) a la computadora portátil de un ingeniero de soporte de Sitel durante " una ventana de cinco días " entre el 16 y el 21 de enero.

Nvidia (2022)

El 23 de febrero de 2022, la empresa de tecnología Nvidia se percató de una vulneración de sus sistemas. Lapsus$ afirmó tener un terabyte de datos de Nvidia y amenazó con publicar los "archivos completos de silicio, gráficos y chipset informático de todas las GPU NVIDIA recientes, incluida la RTX 3090Ti y las próximas revisiones" si Nvidia no publicaba en código abierto sus controladores de dispositivos . [15] [3] El 3 de marzo de 2022, aparecieron en Internet las credenciales de los más de 71.000 empleados de Nvidia. [16]

Samsung (2022)

El 4 de marzo de 2022, Lapsus$ publicó un torrent de 190 GB de datos internos pertenecientes al fabricante de teléfonos Samsung , incluido el código fuente de su línea de teléfonos Samsung Galaxy . Samsung confirmó la filtración tres días después. [17]

Mercado Libre (2022)

El 8 de marzo de 2022, la empresa argentina de comercio electrónico Mercado Libre confirmó que Lapsus$ había accedido a los datos de usuarios de 300.000 clientes; el grupo también afirmó tener acceso a 24.000 repositorios pertenecientes a Mercado Libre. [18]

Ubisoft (2022)

El 10 de marzo de 2022, la empresa de juegos Ubisoft confirmó que había experimentado un "incidente de seguridad cibernética", aunque no se había accedido a los datos de los usuarios. [19]

T-Mobile (2022)

El 17 de marzo de 2022, Lapsus$ había obtenido acceso a una cuenta de empleado de la empresa de telecomunicaciones T-Mobile . Un miembro destacado de Lapsus$, que se hacía llamar "White", intentó sin éxito acceder a las cuentas de T-Mobile de la Oficina Federal de Investigaciones y del Departamento de Defensa de los Estados Unidos . Sin embargo, Lapsus$ pudo obtener los repositorios de código fuente pertenecientes a T-Mobile. [20]

Microsoft (2022)

El 20 de marzo de 2022, Lapsus$ publicó una captura de pantalla del servidor Azure DevOps de la empresa tecnológica Microsoft en su canal de Telegram . Al día siguiente, el grupo publicó un archivo zip de 37 GB que contenía, entre otras cosas, "el 90% del código fuente del motor de búsqueda Bing ". [21] [22] [23] [24]

Globant (2022)

El 30 de marzo de 2022, la empresa de TI con sede en Luxemburgo Globant confirmó que su red había sido violada por Lapsus$. [25]

Uber (2022)

El 15 de septiembre de 2022, Uber anunció que había sufrido una vulneración de seguridad debido a Lapsus$. [26]

Juegos de Rockstar (2022)

El 18 de septiembre de 2022, aparecieron 90 vídeos de secuencias de juegos relacionados con Grand Theft Auto VI en GTAForums . [27] Se cree que el hacker estaba afiliado a Lapsus$. [28] El 25 de diciembre de 2023, se informó que se había filtrado contenido adicional obtenido de la filtración un año antes, incluidos archivos de juego para la continuación planificada de Bully , código Python para Grand Theft Auto VI y el código fuente completo de Grand Theft Auto V, que incluía pistas sobre el contenido DLC planificado para el juego. [29]

Interacciones

El grupo utilizó la aplicación de mensajería Telegram y el canal de Telegram Lapsus$ para anunciar filtraciones de datos y reclutar cómplices. En marzo de 2022, tenía casi 50.000 suscriptores. [7] El grupo publicó encuestas sobre qué organización debería ser el próximo objetivo del grupo. [30]

El FBI hizo un llamamiento para obtener información el 21 de marzo de 2022. [31]

Composición

Según la acusación, el cerebro del grupo era Arion Kurtaj, un joven de 16 años residente en Oxford , Inglaterra, y otro miembro principal era un adolescente en Brasil. [32] [33] [34] Un informe de Bloomberg afirmó que el grupo tiene siete miembros y probablemente se formó recientemente. [35] [32]

Arrestos y condenas

El 24 de marzo de 2022, la policía de la ciudad de Londres detuvo a siete personas de entre 16 y 21 años en relación con una investigación policial sobre Lapsus$. Arion Kurtaj, un miembro destacado del grupo con el seudónimo White, fue arrestado en Oxford, Inglaterra. Su identidad supuestamente había sido revelada previamente por un ex asociado, y se informó que varios grupos, incluido el grupo de investigación Unit 221B, lo habían identificado. [36] El miembro destacado fue acusado junto con un joven de 17 años el 1 de abril de 2022. [37] [33] Los psiquiatras lo evaluaron como no apto para ser juzgado, [34] pero un proceso judicial de 7 semanas se prolongó hasta agosto de 2023, y resultó en la condena tanto del joven de 17 años como del miembro destacado. [10] Kurtaj recibió una orden de permanecer indefinidamente en un centro psiquiátrico de seguridad . [11]

El 19 de octubre de 2022, un ciudadano brasileño que se cree que es miembro de Lapsus$ fue arrestado por la policía en Feira de Santana , Bahía , y posteriormente acusado de los ataques al Ministerio de Salud de Brasil y otros delitos cibernéticos después de la "Operación Nube Oscura". Lapsus$ también atacó a docenas de otras organizaciones y entidades del Gobierno Federal de Brasil, incluido el Ministerio de Economía, la Contraloría General de la Unión y la Policía Federal de Carreteras. [38] [39] Los datos aparecen eliminados permanentemente. [ cita requerida ]

Análisis

El modus operandi del grupo se basaba en obtener acceso a la red corporativa de una organización víctima mediante la adquisición de credenciales de empleados privilegiados. Estas credenciales se adquirían de diversas formas, incluido el reclutamiento [40] o el hackeo de empleados privilegiados mediante métodos como el intercambio de tarjetas SIM . [7] Luego, Lapsus$ usaba el acceso remoto a la red o al escritorio para obtener datos confidenciales, como detalles de cuentas de clientes o el código fuente. Luego, el grupo extorsionaba a la organización víctima con amenazas de revelar los datos. [23] En los casos más destacados, los datos se divulgaban posteriormente y la información se publicaba en Telegram.

Lapsus$ ha utilizado la táctica de ingeniería social conocida como ataque de fatiga de autenticación multifactor en su ataque a Uber. [41] [42] [43]

Los métodos utilizados por Lapsus$ fueron objeto de una revisión por parte de la Junta de Revisión de Seguridad Cibernética de Estados Unidos a mediados de 2023. [5]

Referencias

  1. ^ "Actor criminal DEV-0537 que ataca a organizaciones para exfiltrar y destruir datos". Blog de seguridad de Microsoft . 22 de marzo de 2022 . Consultado el 24 de marzo de 2022 .
  2. ^ "Defensa contra ataques". Security Insider . Microsoft Security. 22 de agosto de 2022 . Consultado el 8 de octubre de 2022 .
  3. ^ ab Goodin, Dan (4 de marzo de 2022). "Los cibercriminales que violaron la seguridad de Nvidia emiten una de las demandas más inusuales de la historia". Ars Technica . Consultado el 14 de marzo de 2022 .
  4. ^ Winder, Davey (8 de marzo de 2022). "Samsung confirma un hackeo masivo de Galaxy después de que se compartiera un torrent de datos de 190 GB a través de Telegram". Forbes . Consultado el 14 de marzo de 2022 .
  5. ^ abcd "Revisión de los ataques asociados a Lapsus$ y grupos de amenazas asociados" (PDF) . CISA.Gov . Junta de Revisión de Seguridad Cibernética del Gobierno de EE. UU. Archivado (PDF) del original el 10 de agosto de 2023 . Consultado el 11 de agosto de 2023 .
  6. ^ Goodin, Dan (18 de noviembre de 2023). "La FCC dice que las nuevas reglas frenarán el intercambio de tarjetas SIM. Soy pesimista". Ars Technica . Consultado el 19 de noviembre de 2023 .
  7. ^ abc Krebs, Brian (23 de marzo de 2022). "Una mirada más cercana al grupo de extorsión de datos LAPSUS$". Krebs On Security . Consultado el 24 de marzo de 2022 .
  8. ^ ab "El sitio web del Ministerio de Salud de Brasil fue atacado por piratas informáticos y los datos de vacunación fueron atacados". Reuters . 11 de diciembre de 2021 . Consultado el 24 de marzo de 2022 .
  9. ^ Peters, Jay (24 de marzo de 2022). "Siete adolescentes arrestados en relación con el grupo de piratas informáticos Lapsus$".
  10. ^ ab "Lapsus$: Tribunal determina que adolescentes llevaron a cabo una ola de piratería informática". BBC News . 23 de agosto de 2023 . Consultado el 23 de agosto de 2023 .
  11. ^ ab "Lapsus$: un hacker de GTA 6 recibió una orden de internamiento indefinido en el hospital". BBC News . 21 de diciembre de 2023.
  12. ^ Mari, Angelica (10 de diciembre de 2021), "Ministerio de Salud de Brasil sufre ciberataque y desaparecen datos de vacunación contra COVID-19", ZDNET , consultado el 27 de diciembre de 2023
  13. ^ Porter, Jon (22 de marzo de 2022). "El hackeo de Okta pone a miles de empresas en alerta máxima". The Verge . Consultado el 22 de marzo de 2022 .
  14. ^ Newman, Lily Hay (28 de marzo de 2022). "Los detalles filtrados del hackeo de Lapsus$ hacen que la respuesta lenta de Okta parezca más extraña". Wired . Consultado el 1 de abril de 2022 .
  15. ^ Clark, Mitchell (1 de marzo de 2022). "Nvidia dice que los piratas informáticos están filtrando su 'información confidencial'". The Verge .
  16. ^ Gatlan, Sergiu (3 de marzo de 2022). "La filtración de datos de NVIDIA expuso las credenciales de más de 71.000 empleados". BleepingComputer . Consultado el 21 de septiembre de 2022 .
  17. ^ Glover, Claudia (7 de marzo de 2022). "¿Lapsus$ está apuntando a las grandes tecnológicas tras la filtración de datos de Samsung?". Tech Monitor . Consultado el 14 de marzo de 2022 .
  18. ^ Sharma, Ax. «El gigante del comercio electrónico Mercado Libre confirma una filtración de datos del código fuente». BleepingComputer . Consultado el 23 de marzo de 2022 .
  19. ^ Peters, Jay (11 de marzo de 2022). "Ubisoft dice que sufrió un 'incidente de ciberseguridad' y los supuestos piratas informáticos de Nvidia se atribuyen el mérito". The Verge . Consultado el 14 de marzo de 2022 .
  20. ^ Krebs, Brian (22 de abril de 2022). "Chats filtrados muestran que LAPSUS$ robó el código fuente de T-Mobile". Krebs on Security . Consultado el 22 de abril de 2022 .
  21. ^ Cox, Joseph (21 de marzo de 2022). "Microsoft investiga denuncia de violación de datos por parte de una banda de extorsionadores". Motherboard . Vice . Consultado el 21 de marzo de 2022 .
  22. ^ Clark, Mitchell; Lawler, Richard; Peters, Jay (22 de marzo de 2022). "Microsoft confirma que los piratas informáticos de Lapsus$ robaron el código fuente a través de un acceso 'limitado'". The Verge . Vox Media . Consultado el 22 de marzo de 2022 .
  23. ^ ab Abrams, Lawrence. "Los piratas informáticos de Lapsus$ filtran 37 GB del supuesto código fuente de Microsoft". BleepingComputer . Consultado el 23 de marzo de 2022 .
  24. ^ Newman, Lily Hay (22 de marzo de 2022). "'Esto es realmente, realmente malo': la banda de Lapsus$ afirma que Okta fue hackeada". Wired . Consultado el 23 de marzo de 2022 .
  25. ^ Goodin, Dan (30 de marzo de 2022). "El gigante de TI Globant revela un ataque informático después de que Lapsus$ filtrara 70 GB de datos robados". Ars Technica . Consultado el 31 de marzo de 2022 .
  26. ^ "Uber dice que un hacker vinculado a Lapsus es responsable de la violación de datos". Reuters . 17 de septiembre de 2023 . Consultado el 17 de septiembre de 2023 .
  27. ^ Kan, Michael (20 de septiembre de 2022). "Uber culpa al grupo de piratas informáticos LAPSUS$ de la reciente violación de seguridad". PCMag . Ziff Davis . Archivado desde el original el 19 de septiembre de 2022 . Consultado el 19 de septiembre de 2022 .
  28. ^ Robinson, Andy (19 de septiembre de 2022). «Uber 'en contacto con el FBI' por un posible hacker de GTA 6». Video Games Chronicle . Gamer Network . Archivado desde el original el 19 de septiembre de 2022 . Consultado el 20 de septiembre de 2022 .
  29. ^ Armughanuddin, Maryland (25 de diciembre de 2023). "Rumor: el código fuente de GTA 5 y otros archivos de Rockstar se filtran en línea". Game Rant . Consultado el 26 de diciembre de 2023 .
  30. ^ Newman, Lily Hay (15 de marzo de 2022). "El grupo de piratas informáticos Lapsus$ ha tenido un comienzo caótico". Wired .
  31. ^ "Los más buscados: LAPSUS$". www.fbi.gov . 21 de marzo de 2022. Archivado desde el original el 3 de abril de 2022 . Consultado el 5 de abril de 2022 .
  32. ^ ab Turton, William; Robertson, Jordan (23 de marzo de 2022). "Investigadores cibernéticos sospechan que un adolescente es el cerebro de un delito". Bloomberg . Consultado el 23 de marzo de 2022 .
  33. ^ ab "Un joven de 16 años que vive con su madre es el cerebro detrás del hackeo de Microsoft a Lapsus$, dicen los detectives cibernéticos". Fortune . Archivado desde el original el 1 de agosto de 2022 . Consultado el 8 de octubre de 2022 .
  34. ^ ab Tobin, Sam (11 de julio de 2023). "Un adolescente hackeó a los fabricantes de Uber, Revolut y Grand Theft Auto, según un tribunal de Londres". Reuters . Consultado el 17 de julio de 2023 .
  35. ^ Burt, Jeff (17 de marzo de 2022). "La banda Lapsus$ envía un mensaje preocupante a los posibles delincuentes". www.theregister.com .
  36. ^ "Lapsus$: Adolescente de Oxford acusado de ser cibercriminal multimillonario". BBC News . 24 de marzo de 2022 . Consultado el 25 de marzo de 2022 .
  37. ^ "Lapsus$: Dos adolescentes del Reino Unido acusados ​​de piratería informática para una banda". BBC News . 1 de abril de 2022.
  38. ^ "PF prende brasileiro suspeito de integrar organização criminosa internacional" [La policía federal arresta a un brasileño sospechoso de integrar una organización criminal internacional], gov.br (en portugués brasileño), 19 de octubre de 2022 , consultado el 27 de diciembre de 2023
  39. ^ Gatlan, Sergiu (19 de octubre de 2022), "Brasil arresta a sospechoso que se cree que es miembro de la banda Lapsus", BleepingComputer , consultado el 27 de diciembre de 2023
  40. ^ Paganini, Pierluigi (11 de marzo de 2022). «El grupo de ransomware Lapsus$ está contratando personal y anunció el reclutamiento de personas con información privilegiada». Security Affairs . Consultado el 23 de marzo de 2022 .
  41. ^ "Fatiga de MFA: la nueva táctica favorita de los piratas informáticos en infracciones de alto perfil". BleepingComputer . Consultado el 20 de septiembre de 2022 .
  42. ^ Whittaker, Zack (19 de septiembre de 2022). "¿Cómo se puede detener otro ataque a Uber?". TechCrunch . Consultado el 20 de septiembre de 2022 .
  43. ^ Goodin, Dan (11 de agosto de 2023). «Cómo unos adolescentes en busca de fama hackearon a algunos de los objetivos más importantes del mundo». Ars Technica . Consultado el 11 de agosto de 2023 .


Obtenido de "https://es.wikipedia.org/w/index.php?title=Lapsus$&oldid=1267839117"