Lapsus$, un misterioso grupo que publica en Telegram, y que tras sus ataques a renombradas empresas como Samsung y Nvidia, está convirtiéndose en el terror de grandes empresas técnologicas. Sus asaltos no parece seguir el modus operandi de otros grupos de ransomware. En lugar de pedir un rescate para evitar la publicación de los datos, los intereses de Lapsus$ van por solicitar acciones como dar facilidades para poder minar criptomonedas, entre otros.
Su origen no está confirmado y no se tiene constancia de ningún nombre concreto que pertenezca a la organización. Sin embargo, hay varios indicios que apuntan hacia Brasil como lugar de origen de este grupo de ciberdelincuentes.
Una de los recientes afectados fue Microsoft. Luego de haberse filtrado información sobre un ciberataque, la mundialmente conocida compañía confirmó que ha sido víctima de un hackeo y el robo de 37 GB de información confidencial. ¿Los culpables? Miembros de Lapsus$.
De acuerdo con la propia Microsoft, el secuestro de datos ha afectado a la nube Azure, al navegador Bing y hasta su asistente de voz Cortana.
Otro afectado ha sido Mercado Libre. La propia empresa ha confirmado el ataque, que afectó a más de 300.000 usuarios y a Mercado Pago. Según su primer análisis no encontraron evidencias de que sus servicios hayan sido comprometidos o hayan obtenido contraseñas de usuarios ni información financiera. Una respuesta similar fue la ofrecida por Samsung, en la que aseguran que los atacantes no han obtenido datos personales, sino información interna de su código fuente.
¿CÓMO OPERAN?
Microsoft ha logrado confirmar cómo es que operan para perjudicar a las gigantes tecnológicas y lo resume en cuatro puntos:
Implementación del malware Redline para obtener contraseñas y tokens de sesión
La compra de credenciales y tokens de sesión a través de foros clandestinos criminales
Pago a los empleados de las organizaciones objetivo para acceder a las credenciales y a la aprobación de mecanismos de autenticación multifactor (Buscando en repositorios públicos credenciales filtradas
El grupo suele insertar Redline en correos o sitios web de dudosa procedencia enviados a trabajadores. Una vez que Lapsus$ obtiene las credenciales, las utiliza para entrar a los sistemas de su objetivo y robar la información.