La policía de Londres anunció el viernes que dos adolescentes habían sido acusados de delitos de piratería en relación con LAPSUS $una banda de ciberdelincuentes que ha logrado violar algunos de las empresas tecnológicas más grandes del mundo durante los últimos meses. Sin embargo, lejos de desintegrarse en un vacío de liderazgo, la pandilla ha seguido creando un caos digital sin ellos.
Los adolescentes no identificados, un joven de 16 años y un joven de 17 años, enfrentan una serie de cargos, que incluyen “tres cargos de acceso no autorizado a una computadora con la intención de afectar la confiabilidad de los datos; un cargo de fraude por representación falsa y un cargo de acceso no autorizado a una computadora con la intención de obstaculizar el acceso a los datos”, dijo Scotland Yard. El dúo, que permanece bajo custodia, estaba programado para comparecer en el Tribunal de Magistrados de Highbury Corner el viernes. Un total de siete personas fueron arrestado recientemente en r elación con la pandilla. El mayor de ellos tiene 21 años.
Si bien el encarcelamiento de varios de sus presuntos miembros parecería señalar el fin de LAPSUS$, el grupo, de hecho, se mantiene ocupado. Hackeó una nueva empresa a principios de esta semana, y las consecuencias de sus escapadas pasadas continúan.
Tras las detenciones, un nuevo hack del LAPSUS$
En cuestión de meses, LAPSUS$ logró llevar a cabo una serie de ataques cibernéticos notablemente exitosos contra empresas como Microsoft, Samsung, Nvidia y otras firmas de renombre. La pandilla ha filtrado gran parte de los datos de sus víctimas a la web y, a menudo, parece estar menos motivada por el dinero que por un deseo de fama y notoriedad.
G/O Media puede recibir una comisión
La víctima más reciente de LAPSUS$ es el desarrollador de software global Globante, que reclama como clientes a varias empresas tecnológicas de primer orden. El martes, LAPSUS$ actualizó su Telegram página de “fugas” con lo siguiente: “Para cualquier persona interesada en las malas prácticas de seguridad que se utilizan en Globant.com. expondré las credenciales de administrador para TODOS allí [sic] Devops plataformas a continuación”. Luego, la pandilla arrojó una gran cantidad de contraseñas, junto con un enlace a lo que dijo que eran 70 gigabytes de datos internos de Globant. Según la pandilla, este tramo incluía un código fuente interno para varios de
Cuando se le contactó para comentar sobre este incidente, Globant refirió a Gizmodo a un declaración sobre el incumplimiento. La declaración que admite dice, en parte:
Según nuestro análisis actual, la información a la que se accedió se limitaba a cierto código fuente y documentación relacionada con el proyecto para un número muy limitado de clientes. A la fecha, no hemos encontrado ninguna evidencia de que otras áreas de nuestros sistemas de infraestructura o los de nuestros clientes se hayan visto afectados.
Eso no significa que los clientes de Globant escaparon del hackeo. Gizmodo habló con Amir Hadzipasic, CEO de la firma de ciberseguridad SOS Int elligence, quien ha estado evaluando el material filtrado. Hadzipasic dijo que la filtración incluye una gran cantidad de datos patentados tanto de Globant como de las empresas que usan su software.
“El archivo de fugas contiene varios repositorios, con un total de unos 70 GB de código fuente. Descubrimos que los repositorios contienen información muy sensible (más allá de la propiedad intelectual del código fuente en sí)”, dijo.
Gizmodo también contactó a Apple y Facebook para comentar sobre las supuestas filtraciones y actualizará esta historia si responden.
Hacker de LAPSUS$ parece haber robado datos de Meta y Apple
Otro giro curioso en la historia de LAPSUS$ viene junto con el surgimiento de una nueva y extraña tendencia de ciberdelincuencia. El martes, el bloguero de ciberseguridad Brian Krebs revelado que los piratas informáticos habían estado utilizando cuentas de correo electrónico comprometidas de las fuerzas del orden público para enviar solicitudes de datos falsos a las empresas de tecnología para robar información de los usuarios. Los gustos de Discord, Apple y Meta han sido engañados por esta estratagema y entregado una cantidad desconocida de datos de usuario a los piratas informáticos. Al menos uno de los ciberdelincuentes involucrados en estos esquemas es un presunto miembro de LAPSUS$.
El miércoles, Bloomberg reportado que los piratas informáticos asociados con un grupo de ciberdelincuencia ahora desaparecido conocido como “Recursion Team” tienen la reputación de estar detrás de algunos de los ataques de solicitud de datos falsos. Si bien “Recursion” ya no existe, se informa que sus antiguos miembros todavía están activos y ahora están afiliados a LAPSUS$.
Es posible que pronto obtengamos más información sobre la saga. El jueves, el senador Ron Wyden (D-Oregon) anunció que había pedido claridad a las empresas de tecnología y las agencias federales sobre cuántas solicitudes de datos falsos han resultado en el compromiso de la información del usuario. El senador también dice que ya ha “elaborado una legislación para acabar con órdenes de arresto y citaciones falsificadas”.
“Estoy particularmente preocupado por la perspectiva de que las órdenes de emergencia falsificadas puedan provenir de agencias de aplicación de la ley extranjeras comprometidas y luego se utilicen para atacar a personas vulnerables”, dijo el senador Wyden en un comunicado proporcionado a Gizmodo.
Los problemas de Sitel y Okta
Otra área de preocupación constante en la historia de LAPSUS$ involucra al gigante de servicio al cliente Sitel, cuya piratería condujo al compromiso de los datos de otras compañías. Uno de LAPSUS$’ víctimas más destacadas, Okta, se violó a través de su relación con Sitel, que actúa como proveedor de servicios de terceros para la empresa de verificación de identidad. A su vez, Sitel dice que se vio comprometida por una red heredada administrada por una de sus adquisiciones recientes, una empresa de servicios de TI llamada Sykes. La violación de Okta puede haber afectado hasta a 366 de sus propios clientes, lo que significa que cientos de otras empresas están sintiendo potencialmente los impactos de este ataque.
El martes, Sitel publicó a blog negando que no podía decir nada sobre su papel como punto de partida para las incursiones de LAPSUS$.
“Con total transparencia, estamos cooperando con las fuerzas del orden público en esta investigación en curso y no podemos comentar públicamente algunos de los detalles del incidente”, se lee en el comunicado.
Algunos investigadores de seguridad que leyeron el comunicado de Sitel señalado el uso del término plural “clientes”, lo que podría implicar que más empresas que Okta se vieron afectadas por el ciberataque. Sitel tiene una base de clientes considerable, que incluye, lo adivinó, grandes empresas de tecnología, los objetivos favoritos de la pandilla.
Cuando Gizmodo se acercó a Sitel y preguntó cuántos de sus clientes se habían visto afectados por el reciente incidente cibernético, la empresa simplemente nos refirió a la declaración publicada anteriormente. “Sitel Group no tiene nada más que agregar en este momento más allá de lo que está en su sitio web”, dijo un representante por correo electrónico. La empresa parece haber dado respuestas similares a otros puntos de venta que preguntó.