COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Lapsus$, potencial amenaza para las universidades

Fecha de Publicación: Jueves, 23 de Junio de 2022

Fuente: https://vinculotic.com/educacion/lapsus/

Las empresas en México y el mundo son vulnerables ante los ciberataques de grupos sumamente organizados y capaces de entrar en cualquier equipo o sistema. Un estudio de Cybersecurity Ventures estima que el costo de la ciberdelincuencia a nivel mundial crecerá 15% anual en los próximos cinco años. Uno de los grupos que pueden representar una amenaza para las universidades es Lapsus$. De origen posiblemente británico y brasileño, se especializa en el robo de información con la cual extorsionar a sus víctimas.

Lapsus$ atacó por primera vez en agosto de 2021 en Reino Unido, donde chantajeó a varias compañías telefónicas. En diciembre de 2021 su blanco fueron los sistemas informáticos del ministerio de Salud de Brasil. Se sabe que en México ha actuado contra compañías —incluidas universidades— en Veracruz, CDMX, Hidalgo, Sinaloa, Querétaro y Nuevo León.

De acuerdo con una investigación de la firma de ciberseguridad Metabase Q, Lapsus$ utiliza un método poco convencional. En vez de recurrir al ransomware —como la mayoría de los hackers dedicados a la extorsión—, prefiere la adquisición de credenciales de empleados privilegiados para lograr acceso a archivos confidenciales. La pesquisa fue realizada por el equipo de seguridad ofensiva de la Metabase Q, denominado Ocelot.

Para obtener las credenciales, Lapsus$ emplea ingeniería social, el reclutamiento o la piratería de empleados privilegiados mediante métodos como el intercambio de tarjetas SIM. Luego, usa el escritorio remoto o el acceso a la red para obtener datos confidenciales. A continuación, el grupo extorsiona a la organización víctima con amenazas de revelar dichos datos. Además, disfruta la atención y anuncia todas sus actividades en Telegram para que sean vistas por el público. Incluso, han llegado a hacer encuestas para elegir a su siguiente víctima.

Lapsus$ seguirá activo en México

Recientemente se supo que Lapsus$ trabaja con el malware Redline Stealer, muy usado en América Latina, donde afecta principalmente a usuarios de México. Lapsus$ emplea especialmente el módulo infostealer del malware para robar credenciales e identificar accesos remotos hacia algún sistema. Se piensa que el grupo adquirió la herramienta en la Deep Dark Web, donde se vende bajo el modelo Malware-as-a-Service.

El modo de trabajo de Lapsus$, según lo detalla el informe de Ocelot, es el siguiente:

●Explotan vulnerabilidades para obtener acceso inicial a la red interna de la víctima.

●Usan insider threats que proporcionan acceso al adversario mediante clientes de VPN.

●Crean cuentas falsas para mantener la persistencia y escalar a privilegios de administradores.

●Coleccionan información de los sistemas internos y las credenciales de los usuarios para acceder a los datos internos.

●Usan las credenciales comprometidas para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN.

●Intercambian tarjetas SIM para obtener control sobre los números telefónicos y burlar los sistemas de múltiples factores de autenticación (MFA).

Entre las principales aplicaciones cuyas vulnerabilidades explota Lapsus$ se cuentan:

●Servidores VMware vCenter.

Firewalls FortiGate.

Software de copia de seguridad y replicación de Veeam.

●Microsoft Exchange.

●Infraestructura alojada en la nube, principalmente AWS.

●Plataformas de desarrollo y colaboración.

●Repositorios de código fuente.

Aunque recientemente detuvieron en Londres a siete de los fundadores de Lapsus$ —tenían entre 16 y 21 años de edad—, se piensa que otros miembros del grupo continúan activos. De hecho, se espera que continúen su expansión en el territorio mexicano, pues el malware que utilizan les ha resultado muy redituable.

Noticias Anteriores