Una prolífica banda de piratas informáticos se ha hecho un nombre con una serie de ataques cibernéticos contra una variedad de objetivos de alto perfil. En tan solo unos días, un grupo conocido como Lapsus$ reveló que había robado datos de organizaciones de renombre, incluidas Microsoft y Okta.

El objetivo de la campaña Lapsus$ parece ser solicitar pagos de rescate, con amenazas de filtrar información robada si no se cumplen sus demandas de extorsión. Si bien esta táctica es familiar, a menudo utilizada por bandas de ransomware como palanca adicional para obligar a las víctimas a pagar un rescate por una clave de descifrado, en el caso de Lapsus$, no hay señales de que el ransomware sea parte de los ataques porque no hay datos cifrados. .

Pero eso no significa que los ataques no sean dañinos: Microsoft Security señala que hay evidencia de un elemento destructivo en los ataques para las víctimas que no cederán a las demandas de extorsión.

VER: Este tipo furtivo de phishing está creciendo rápidamente porque los piratas informáticos obtienen grandes ganancias

Okta, proveedor de gestión de acceso e identidad empresarial, es una de las mayores víctimas de Lapsus$, en un incidente en el que, según la empresa, los atacantes podrían haber accedido a información de alrededor del 2,5% de los clientes de Okta, una cifra que, según la empresa, representa a 366 organizaciones.

Okta reveló la violación el 22 de marzo y la compañía dijo que “contenía” un intento de violación de seguridad en enero. Sin embargo, Lapsus$ afirmó desde entonces que pudo acceder a la computadora portátil de un ingeniero de soporte y publicó capturas de pantalla que afirman tener acceso a los sistemas. En una publicación de blog, Okta dice que la computadora portátil pertenecía a un ingeniero de soporte que trabajaba para un proveedor externo y que Okta no se ha visto comprometida. Sin embargo, la empresa dice que se ha puesto en contacto con los afectados.

Microsoft también ha confirmado que fue comprometido por Lapsus$. Si bien la compañía dice que los atacantes obtuvieron acceso limitado, los piratas informáticos publicaron un archivo torrent que afirma contener el código fuente de Bing, Bing Maps y Cortana.

Si bien afirmar que Okta y Microsoft son víctimas ha llamado la atención sobre Lapsus$, el grupo no es nuevo, ya que ha estado activo desde al menos diciembre de 2021 y se ha cobrado varias víctimas en los últimos meses.

Una de las primeras víctimas del grupo fue el Ministerio de Salud de Brasil, al que le robaron y eliminaron de sus sistemas más de 50 TB de datos. Entre este botín se encontraban datos relacionados con la pandemia de COVID-19, incluidos casos, muertes, vacunaciones y más. Pasó un mes antes de que los sistemas volvieran a funcionar.

Otras víctimas de los ataques de Lapsus$ en los últimos meses incluyen varias empresas de tecnología y juegos. En febrero, Nvidia fue víctima de un incidente de ciberseguridad atribuido a Lapsus$. El grupo afirma haber robado más de 1 TB de datos del fabricante del microchip, incluidas las contraseñas de los empleados.

Otra víctima destacada de Lapsus$ es Samsung, que confirmó que se habían filtrado datos en un ataque, incluido el código fuente relacionado con los teléfonos inteligentes Samsung Galaxy. Samsung dice que no se robó información personal en el ataque.

Lapsus$ también afirma haber comprometido al desarrollador de videojuegos Ubisoft. La compañía dijo que fue víctima de un “incidente de ciberseguridad” que obligó a actualizar las contraseñas en toda la organización.

VER: Ciberseguridad: seamos tácticos (Informe especial de )

No se sabe mucho sobre Lapsus$, aparte de que es una banda de cibercriminales (que se cree que opera desde Sudamérica) que piratea las redes de grandes organizaciones para robar datos y extorsionar pagos.

A diferencia de las bandas de ransomware, que utilizan sitios web oscuros para publicar datos robados, Lapsus$ utiliza un canal de Telegram para compartir información sobre sus ataques (e información robada a sus víctimas) directamente con cualquiera que esté suscrito a él.

Cuando se trata de realizar ataques, Lapsus$ parece ser el mismo que muchas otras operaciones cibercriminales, explotando las capacidades del protocolo de escritorio remoto (RDP) de cara al público y desplegando correos electrónicos de phishing para obtener acceso a cuentas y redes. El grupo también compra credenciales robadas de foros clandestinos y busca en depósitos públicos de nombres de usuarios y contraseñas credenciales que puedan explotarse para obtener acceso a las cuentas.

Lapsus$ también utiliza su canal público Telegram para publicar mensajes, alentando a posibles usuarios maliciosos a presentarse ofreciendo una red privada virtual (VPN), una infraestructura de escritorio virtual (VDI) o credenciales de Citrix a cambio de un pago no especificado en una moneda no revelada.

Es poco probable que los ataques cesen repentinamente (el grupo podría incluso envalentonarse después de reclamar varias víctimas de alto perfil), pero hay medidas que las empresas pueden tomar para ayudar a evitar ser víctimas de ataques cibernéticos por parte de Lapsus$ u otros grupos criminales de piratería.

Esto incluye proteger tecnologías de trabajo remoto como VPN y RDP con contraseñas seguras y difíciles de adivinar y reforzar esa defensa con autenticación multifactor. Además, cualquier usuario que crea que su cuenta ha sido comprometida debe cambiar su contraseña inmediatamente. Las empresas también deben capacitar al personal para identificar y denunciar correos electrónicos de phishing.

MÁS SOBRE CIBERSEGURIDAD