En el último mes te hemos hablado varias veces del grupo de ciberdelincuentes LAPSUS$: en estos días han sido los responsables de intentar chantajear a NVIDIA, de provocar la caída de los servidores de Ubisoft, o de robar el código fuente de varios proyectos de Microsoft.
Con esa trayectoria, era de esperar que las fuerzas del orden se aplicaran a la hora de perseguirles: pocos días después de su último golpe, Scotland Yard anunció la detención de 7 jóvenes entre los 16 y los 21 años.
El menor de ellos —conocido como 'White' y 'Breachbase' y que según publica la BBC, sería también autista y multimillonario (poseyendo 14 millones de dólares en Bitcoin)— está acusado, de hecho, de liderar la organización. Un desacuerdo de 'White' con 'socios comerciales' habría provocado que éstos desvelaran su identidad real en foros de la Red.
Todos los detenidos se enfrentan ahora a
"tres cargos de acceso no autorizado a ordenadores con la intención de perjudicar la fiabilidad de los datos; un cargo de fraude por representación falsa y un cargo de acceso no autorizado a una computadora con la intención de obstaculizar el acceso a los datos".
Sin embargo, el encarcelamiento de su líder y de otros 6 'hackers' no parece haber hecho mella sobre la actividad de LAPSUS$, que ha seguido llevando a cabo ciberataques como si tal cosa, incluso actualizando su canal de filtraciones en Telegram.
Searchlight Security es otra consultora de ciberseguridad cuyos analistas llevan unas semanas siguiendo de cerca a LAPSUS$. Ellos les describen como un grupo "ambicioso y aparentemente algo caótico, e imprudente"
"No es sorprendente que el grupo haya continuado sus hackeos de alto riesgo incluso después de los arrestos en Londres dada su probable composición internacional de sus miembros".
"[…] Se cree que algunos de los miembros de LAPSUS$ actualmente activos residen en países con leyes de seguridad cibernética subdesarrolladas, aplicación irregular y que no han firmado convenios internacionales en material de delitos cibernéticos".
Nuevos ciberataques (y nuevas modalidades de robo de datos)
Su última víctima fue el desarrollador de software Globant, al que subcontratan grandes compañías de Silicon Valley: LAPSUS$ publicó en Telegram 70 GB de datos internos de Globant junto con un listado de contraseñas, afirmando que el contenido revelaba "las malas prácticas de seguridad" de la compañía, y el código fuente de varios proyectos desarrollados para clientes como Apple y Meta.
Según declaraciones de Amir Hadzipasic, CEO de la firma de ciberseguridad SOS Intelligence, el archivo de 70 GB "contiene una serie de repositorios [con] información muy sensible (más allá de la propiedad intelectual del propio código fuente)".
Pero es que LAPSUS$ no se ha limitado a seguir realizando el mismo tipo de ciberataques que antes como si nada, sino que ha sumado nuevas modalidades de ataque en los últimos días, como las basadas en comprometer cuentas de correo de fuerzas de seguridad y falsear solicitudes de datos…
…haciendo que parezcan legítimas peticiones policiales, mientras que en realidad las empresas que responden a los emails no están haciendo otra cosa que entregar datos confidenciales directamente a los hackers. Apple y Meta han sido también —junto a Discord— víctimas de este método.
Vía | Gizmodo & BBC & Computer Weekly