Sumado al incremento de ataques desde Rusia, durante las últimas semanas se han presentado múltiples eventos sobre grandes multinacionales como Okta, Nvidia, Samsung, Ubisoft y LG, todas víctimas de un nuevo grupo de amenazas conocido como Lapsus$.
Siguiendo el monitoreo de amenazas, el equipo de inteligencia de amenazas del SOC (Security Operations Center) de Logicalis ha estado atento a los movimientos del grupo de amenaza conocido como Lapsus$, sus comportamientos y las TTPs (Técnicas, Tácticas, Procedimientos) utilizadas. Este grupo ha desconcertado a muchos especialistas en ciberseguridad, ya que ha generado ciberataques y actividades de hacking exitosas sobre grandes compañías de tecnología.
Al parecer, no despliega ransomware en los intentos de extorsión realizados (algo inusual), y se enfoca más en tener notoriedad y reconocimiento que en ganancias económicas.
Lapsus$ tampoco emplea malware en los ambientes vulnerados de sus víctimas, se enfocan principalmente en el robo de credenciales, a través de técnicas de ingeniería social. Este grupo ha tenido un gran crecimiento en pocos meses, lanzando ciberataques relacionados con robo, exfiltración de información y publicación de código fuente, sobre empresas a nivel global.
Para el caso de Nvidia, se observó como un intento de extorsión no económica. Para la empresa Okta, alrededor del 2,5% de su base de clientes se vio afectada por la brecha de seguridad.
A diferencia de otros grupos de cibercriminales, este parece no cubrir sus huellas. Llegan incluso a anunciar sus ataques en redes sociales o publicar su intención de comprar credenciales de empleados de organizaciones objetivo.
Sus tácticas incluyen actividades de ingeniería social telefónicas, duplicación/suplantación de SIM Card (SIM-swapping), para facilitar la obtención de los códigos de acceso hacia herramientas de múltiple factor de autenticación (MFA) y poder ingresar a los correos electrónicos personales de los empleados, también a sus cuentas de usuario corporativas. Incluso han logrado ingresar e inmiscuirse en las llamadas y comunicaciones de crisis de sus víctimas cuando descubren el incidente.
Impacto. Los primeros ciberataques apuntaron a cuentas de criptomonedas que resultaron en compromiso, robo de billeteras y fondos. Luego ampliaron sus objetivos y comenzaron a apuntar a organizaciones gubernamentales, de telecomunicaciones y de educación superior en América del Sur.
Las campañas más recientes se han ampliado para incluir organizaciones de todo el mundo en diferentes sectores. Este grupo de actores de amenaza comprende la naturaleza interconectada de las identidades y las relaciones de confianza en los ecosistemas tecnológicos modernos y se dirige a las empresas de telecomunicaciones, tecnología, servicios de TI y soporte. Para acceder a las organizaciones asociadas o proveedoras. También se ha observado que apuntan hacia entidades gubernamentales, manufactura, educación superior, energía, minoristas y atención médica.