El grupo de cibercriminales LAPSUS$, que se identificó como el responsable del hackeo a MercadoLibre, Samsung y NVIDIA, ahora ha atacado a Microsoft, Okta y Globant, empresa especializada en digitalización que es proveedora de Citibanamex, pero ¿qué tan peligroso es?
A diferencia de otros grupos de cibercriminales, LAPSUS$ no usa foros especializados para difundir los supuestos archivos que poseen de las empresas que ha vulnerado, prefieren usar Telegram, un espacio que cuenta con más usuarios que la darkweb.
Recientemente trascendió entre especialistas que el líder de LAPSUS$ podría tener 16 o 17 años y se han detenido algunas personas en este rango de edad presuntamente relacionadas con el grupo en Reino Unido.
Tampoco tiene jerarquías como en otros grupos cibercriminales.
“El peligro consiste en que los grupos tradicionales de ransomware buscan obtener dinero y están dispuestos a negociar para lograrlo. Incluso a extorsionar lo más que puedan para obtener ganancias. Entonces tienen un objetivo y varias metodologías.
“LAPSUS$ no tiene una metodología clara. Tiene mucho talento y saben vulnerar empresas, pero no son un grupo de ransomware. Parece no importarles tener ganancias económicas, esto puede ser más riesgoso porque no están dispuestos a negociar, sino que todo lo que vulneran lo publican sin importarles el daño que hacen a las empresas”, mencionó Víctor Ruiz, especialista en ciberseguridad.
En los foros clandestinos hay una revuelta mientras algunos hackers apoyan a LAPSUS$ y otros dicen que solo están mintiendo porque no han liberado ninguno de los datos que dicen tener de NVIDIA o Vodafone.
“LAPSUS$ está dando largas a su comunidad. No han dado a conocer la información y esto molesta a sus seguidores. Es posible que algunas de las vulneraciones y filtraciones de datos que tienen no sean reales.
“Parece como si por una parte estuvieran los cibercriminales y por otra algunos jóvenes que solo quieren divertirse hackeando”, comentó el especialista.
Además, por su inexperiencia y el no encriptar la información, podrían ser ciberatacados por otros grupos que roben la información.
En tanto, Verónica Becerra, experta en ciberseguridad de la empresa Offhack, consideró en algunos de los casos la información que aparentemente se ha filtrado por parte del grupo de delincuentes no ha tenido gran impacto.
“Es un grupo que hace mucho ruido, eso nos puede dar una pauta para considerar lo inexpertos que pueden ser, utilizan mucho las redes sociales, dejando huella. Si bien pueden ser un grupo organizado, el nivel que utilizan, hablando técnicamente, se queda muy por debajo de otro tipo de ciberdelincuentes.
“Esto no quiere decir que debamos subestimarlos, debemos estar atentos a nuevas técnicas que utilicen o no tan conocidas”, dijo Becerra.
Los integrantes de LAPSUS$ podrían ser descubiertos por las huellas que han ido dejando e incluso podría desaparecer el grupo antes de ser descubiertos, como fue el caso de Avaddon, responsable del hackeo a la Lotería Nacional.
Microsoft, una de las víctimas de LAPSUS$, ha rastreado activamente una campaña de ingeniería social y extorsión a gran escala contra varias organizaciones y algunas han visto evidencia de elementos destructivos realizado por el grupo de ciberdelincuentes.
“La actividad que hemos observado se ha atribuido a un grupo de amenazas que Microsoft rastrea como DEV-0537, también conocido como LAPSUS$. DEV-0537 es conocido por usar un modelo puro de extorsión y destrucción sin implementar cargas útiles de ransomware.
“También se sabe que DEV-0537 se hace cargo de las cuentas de usuarios individuales en los intercambios de criptomonedas para drenar las tenencias de los activos”, explicó Microsoft.
Las tácticas incluyen ingeniería social basada en teléfonos; intercambio de SIM para facilitar la adquisición de cuentas; acceder a cuentas de correo electrónico personales de empleados en organizaciones objetivo; pagar a los empleados, proveedores o socios comerciales de las organizaciones objetivo por el acceso a las credenciales, agregó la compañía.
