El grupo LAPSUS$, supuestamente compuesto por adolescentes, apareció repentinamente en la escena cibernética a fines del año pasado. Se convirtió en uno de los grupos de ransomware en línea más conocidos y notorios después de infiltrarse con éxito en las principales corporaciones como Microsoft, Samsung, Ubisoft y Okta.
Claire Tills, ingeniera de investigación sénior de Tenable, obtuvo un conocimiento profundo de las operaciones del grupo LAPSUS$. Descubrió que si bien las tácticas del grupo son audaces, ilógicas y mal pensadas, han tenido éxito en la disrupción de las principales empresas tecnológicas internacionales. Este es un recordatorio aleccionador de que ninguna empresa está realmente segura de los ataques cibernéticos, ya que las empresas grandes y pequeñas se han convertido en presa fácil para los atacantes.
Lapsus$: robo de datos y extorsión
A diferencia de los operadores de ransomware, LAPSUS$ representa un grupo creciente de ciberdelincuentes centrados únicamente en el robo de datos y la extorsión. Obtienen acceso a las víctimas a través de métodos probados, como el phishing, y roban los datos más confidenciales que pueden encontrar sin usar malware de cifrado de datos. El grupo saltó a la fama cuando lanzaron un ataque contra Nvidia a finales de febrero. Con este ataque, LAPSUS$ ingresó al escenario mundial por primera vez y comenzó un breve alboroto de las principales empresas tecnológicas.
A diferencia de otros grupos de amenazas, LAPSUS$ opera únicamente a través de un grupo privado de Telegram y no opera un sitio de filtraciones de la dark web. A través de Telegram, el grupo anuncia a sus víctimas y, a menudo, pide a la comunidad sugerencias sobre qué datos de la empresa publicar a continuación. En comparación con los sitios web pulidos y estandarizados de grupos de ransomware (como AvosLocker, LockBit 2.0, Conti, etc.), estas prácticas parecen desorganizadas e inmaduras.
Ataques DDoS y vulnerabilidades de seguridad
🔎 Descripción general de los ataques LAPSUS$ (Imagen: Tenable)
Al atacar recientemente una serie de objetivos de alto perfil, el grupo LAPSUS$ se ha hecho famoso por sus tácticas poco convencionales y métodos impredecibles. Los primeros ataques incluyeron la denegación de servicio distribuida (DDoS) y el vandalismo en sitios web. Pero ya el 21 de enero, el grupo LAPSUS$ estuvo involucrado en la brecha de varias etapas que finalmente condujo al incidente de Okta. Durante esta maduración, el grupo se basó en gran medida en tácticas clásicas, como comprar volcados de credenciales, servicios de asistencia de ingeniería social y enviar desafíos de autenticación multifactor (MFA) para obtener acceso inicial a las empresas objetivo.
"Al igual que el ransomware, los ataques de extorsión nunca terminarán a menos que se vuelvan demasiado complicados o demasiado costosos", dijo Claire Tills, ingeniera de investigación sénior de Tenable. “Las organizaciones deben considerar qué defensas tienen contra las tácticas utilizadas, cómo pueden fortalecerse y si sus planes de respuesta abordan estos incidentes de manera efectiva. Si bien es fácil restar importancia a los grupos de amenazas como LAPSUS$, su interrupción en las principales empresas tecnológicas internacionales nos recuerda que incluso las tácticas simples pueden tener serias repercusiones”.
Más en Tenable.com
Acerca de Tenable Tenable es una empresa de exposición cibernética. Más de 24.000 53 empresas en todo el mundo confían en Tenable para comprender y reducir el riesgo cibernético. Los inventores de Nessus han combinado su experiencia en vulnerabilidades en Tenable.io, entregando la primera plataforma de la industria que brinda visibilidad en tiempo real y asegura cualquier activo en cualquier plataforma informática. La base de clientes de Tenable incluye el 500 por ciento de Fortune 29, el 2000 por ciento de Global XNUMX y grandes agencias gubernamentales.