Las investigaciones apuntan a un joven de 16 años del Reino Unido como el cerebro de la banda, que ha atacado a empresas como Microsoft, Nvidia, Ubisoft, Samsung o Vodafone. La policía de Londres detuvo y soltó ayer a siete adolescentes sospechosos
Sus acciones
delictivas también han tenido como blanco a Okta, una empresa que ofrece
servicios de verificación de identidad a terceras compañías, a uno de los
mayores grupos de medios de comunicación de Portugal y al Ministerio de Salud
de Brasil.
Aunque aún no está
clara la motivación que hay detrás de sus ataques, todos de alto perfil, los
expertos en ciberseguridad sospechan que se mueven por dinero y notoriedad. Su
principal modus operandi es hackear grandes empresas, robar sus datos y amenazarles
con publicarlos a menos que se les pague un rescate. Pero no siempre. A Nvidia,
por ejemplo, no le pidieron dinero sino liberar el código fuente de los drivers
de sus tarjetas gráficas y eliminar las restricciones que ha impuesto a la hora
de usarlas para minar criptomonedas.
En lo que sí parecen
avanzar las investigaciones es sobre quién o quienes están detrás de Lapsus$ y
otros detalles acerca de su manera de operar. Este jueves Bloomberg informó de
que cuatro expertos en ciberseguridad que investigan al grupo en nombre de las
empresas atacadas estaban convencidos de que un adolescente de 16 años que vive
con su madre cerca de Oxford (Inglaterra) es el cerebro detrás de Lapsus$. Y
ello pese a que no le han podido vincular de manera concluyente con todos los
hackeos reclamados por el grupo.
Los investigadores
habían utilizado evidencias forenses de los ataques, así como información
pública disponible para relacionar al joven, que se hace llamar “White” y
“Breachbase” en la red, con la banda. Pero sospechaban que otro adolescente que
reside en Brasil pertenece también al grupo, y daban por hecho que había más
personas involucradas pues habían llegado a identificar siete cuentas únicas
asociadas con Lapsus$.
Ayer por la tarde, la
policía de Londres detuvo a siete adolescentes tras descubrir presuntas
conexiones con este grupo. Según la BBC, que avanzó la noticia, los arrestados,
con edades entre 16 y 21 años, fueron después puestos en libertad bajo
investigación. La policía continúa con sus pesquisas.
El joven al que se
acusa de ser el cerebro presuntamente ha amasado una fortuna de 14 millones de
dólares. Según los investigadores que citaba Bloomberg, es tan rápido actuando
que inicialmente pensaron que la actividad delictiva que estaban observando
estaba automatizada.
Sin embargo, y pese a
las habilidades demostradas por el grupo, parece que dar con estos jóvenes no
ha sido demasiado complicado debido a que cuentan con una seguridad operativa
deficiente. La propia Microsoft aseguró en su blog que a diferencia de la
mayoría de los grupos [de ciberdelincuentes] que permanecen bajo el radar,
Lapsus$ no parece esconder sus huellas.
Así, además de
utilizar técnicas tradicionales de ingeniería social (tratando, por ejemplo, de
engañar a empleados de empresas con llamadas telefónicas), “van tan lejos que
incluso llegan a anunciar sus ataques en las redes sociales y a publicitar su
intención de comprar credenciales de empleados de las organizaciones objetivo
[para utilizarlas como puerta de entrada a los servidores de las compañías]”,
dijo el gigante de Redmond.
Bloomberg también
detalló que el hacker jefe adolescente ha tenido información personal, incluida
su dirección e información sobre sus padres, publicada en la red. Mucha de esa
información desvelada por hackers rivales. Además, el grupo de
ciberdelincuentes compartía sus objetivos en un canal de Telegram que tiene más
de 45.000 seguidores. Microsoft reconoció, de hecho, que pudo interrumpir la
descarga de su código porque Lapsus$ habló de ello públicamente en Telegram
antes de completar la descarga.
Esta falta de
discreción que ha ayudado a acelerar en la investigación podría ser el fin de
la banda. O no, pues el prolífico grupo de hackers tras Laspus$ parece tener su
sede en América Latina. Y se desconoce cuántas personas lo componen. De
momento, este miércoles el grupo informaba a través de su canal en Telegram que
algunos de sus miembros tienen “vacaciones hasta el 30/3/22”. “Gracias por
entendernos. Intentaremos filtrar cosas lo antes posible”, decía el mensaje.
El padre del joven
cerebro del grupo le dijo a la BBC que su familia estaba muy preocupada y
estaban tratando de mantenerle alejado de los ordenadores. El adolescente, cuyo
nombre no ha sido desvelado por ser menor de edad, asiste a una escuela de
educación especial en Oxford, pues según la cadena británica es autista.
"Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado
el de ningún hackeo, pero es muy bueno con los ordenadores y se pasa mucho
tiempo con ellos. Siempre pensé que estaba jugando", añadió el padre.
MÚLTIPLES TÉCNICAS
PARA LOGRAR EL BOTÍN
Soborno. Las técnicas
utilizadas por los miembros de Lapsus$ para atacar sus objetivos son múltiples.
Además de usar la ingeniería social, sobornando o engañando a los empleados de
las organizaciones objetivo o de los socios de estas, también pagan a empleados
o personas que tengan información privilegiada de las empresas para que les
sirvan de puerta de entrada a los sistemas informáticos de las mismas.
Redes. Fuentes
consultadas por krebsOnSecurity aseguran que este grupo de ciberdelincuentes ha
estado reclutando personas con información privilegiada de las empresas a las
que querían atacar a través de múltiples redes sociales desde al menos
noviembre de 2021. El año pasado, en Reddit ofrecían a los empleados de
AT&T, T-Mobile y Verizon hasta 20.000 dólares por semana para realizar
“trabajos internos”.
Tarjeta SIM.
Precisamente, el grupo ha utilizado en ocasiones la técnica de SIM swapping
para obtener acceso a cuentas clave en las organizaciones objetivo. Esta
consiste en robar la identidad de una persona duplicando su tarjeta SIM del
móvil. Otras veces han instalado el malware de robo de contraseñas Redline o
han recurrido a la búsqueda de credenciales expuestas en repositorios de código
público.
Extorsión. Se cree
que uno de los miembros de Lapsus$ estuvo involucrado en un ataque a Electronic
Arts el año pasado. Los extorsionadores le exigieron un pago a cambio de no
publicar 780 GB de código fuente.
Fuente: cincodias.elpais.com