Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
marzo
(Total:
103
)
- Apple y Meta compartieron datos privados de usuari...
- Spring4Shell: un nuevo 0-day en Spring (Java)
- El mayor hackeo de criptomonedas de la historia ac...
- La NVIDIA RTX 3090 Ti es la gráfica más potente y ...
- Filtran informe técnico que revela como Lapsus hac...
- Globant hackeada también por Lapsus
- Detenido por 4º vez Alcasec, esta vez por hackear ...
- Los usuarios de Ucrania se quedan sin internet otr...
- Informe completo del Ransomware Hive
- Sitios hackeados con WordPress fuerzan a los visit...
- Anonymous publica 28 GB de documentos del Banco Ce...
- Las futuras unidades SSD PCIe 5.0 necesitarán refr...
- Tinder te dirá en Estados Unidos si tu futura cita...
- La FCC añade a Kaspersky a su lista de amenazas a ...
- Vulnerabilidades permiten arrancar y abrir remotam...
- Corea del Norte explota vulnerabilidad Zero-Day en...
- Mejorar la seguridad de Windows con herramienta Sy...
- Rusia habría hackeado satélites europeos al inicio...
- Diferencias entre SSL, TLS y HTTPS
- Disponible distro auditorías hacking y pentest Par...
- El sueldo medio de un operador del ransomware Cont...
- Comandos prácticos consola Windows (cmd)
- ¿Quiénes son los miembros del grupo Lapsus? El líd...
- Un ataque DDoS tumba la web del Congreso de los Di...
- Guía compra CPU: arquitecturas y equivalencias de ...
- Técnicas de intrusión hacking con vectores inicial...
- Los rusos se descargan masivamente la Wikipedia an...
- Microsoft confirma que fue hackeado por el grupo L...
- Actualizaciones de seguridad críticas para varios ...
- Anonymous hackea Nestlé y filtra 10 GB de datos co...
- El Apple M1 Ultra es casi 3 veces más grande que u...
- Grupo Lapsus publica un torrent con 37GB de codigo...
- Falso reinicio: Ataque NoReboot para mantener pers...
- Microsoft investiga un supuesto hackeo con robo de...
- Kit Phishing permite crear ventanas realistas de P...
- Twitter prepara «Circles», para mostrar tuits a co...
- Rusia podría quedarse sin espacio de almacenamient...
- Herramienta de Microsoft para escanear routers Mik...
- Un juez del Supremo de Brasil prohíbe el uso de Te...
- Vulnerabilidades críticas en los dispositivos Smar...
- Malware Ruso Cyclops Blink afecta a varios modelos...
- Enviar "fotopollas" será delito en el Reino Unido
- Video falso (deepfake) del presidente ucraniano pi...
- Ver las contraseñas guardadas en redes Wireless en...
- Cloudflare bloquea los servicios IPTV pirata en it...
- Nueva multa a Meta de 17 millones € por incumplimi...
- VirusTotal presenta extensión navegador VT4Browsers
- Transceptores SFP
- Elevación local de privilegios en el Kernel de Lin...
- Intel anuncia una inversión de 33 mil millones de ...
- Microsoft está probando de añadir anuncios en el E...
- Ucrania utiliza el reconocimiento facial en la gue...
- Alemania pide a sus empresas y usuarios desinstala...
- CaddyWiper es un nuevo malware destructivo dirigid...
- El grupo de ransomware Vice Society publica los da...
- Microsoft publica la API DirectStorage para PC, un...
- Conectar pendrive USB al teléfono móvil
- Anonymous hackea la filial alemana de la gran petr...
- Acusan a TP-Link de espiar a sus usuarios mediante...
- Disponible WifiSlax 3.0 Final 2022 para auditorías...
- La aduana de China captura a un hombre con 160 CPU...
- Procesadores Intel pierden hasta un 35% y AMD has...
- Un simulador nuclear 'online' se bloquea debido al...
- Hackean la cuenta Twitter de La Casa Real de España
- Top 10 de ataques al Directorio Activo de Windows
- La empresa Tarlogic denuncia la poca seguridad de ...
- Cómo acceder a la BIOS-UEFI según la marca del por...
- Ubisoft confirma un ciberataque y podría ser obra ...
- Funciones y trucos ocultos de Windows 11
- Google lanza las alertas de ataques aéreos para us...
- Rusia crea su propia Autoridad Certificadora (CA) ...
- La Fundación Wikimedia advierte sobre los peligros...
- Anonymous hackea al Roskomnadzor, el regulador que...
- ¿Qué es un trol de patentes de software?
- Nuevo vector de ataque permite amplificar los ataq...
- BHI (Spectre-BHB) es una nueva vulnerabilidad tipo...
- Apple M1 Ultra es el nuevo procesador de 20 núcleo...
- Twitter estrena web en la red Tor para combatir la...
- Grave vulnerabilidad en el kernel de Linux: Dirty ...
- 12VHPWR es un nuevo conector de hasta 600W para ta...
- Apple presenta el Mac Studio, un equipo mini de al...
- Apple Studio Display un Monitor 5K de 27″ a partir...
- Google compra Mandiant por 5.400 millones de dólar...
- Consiguen hackear Amazon Echo para hacer compras o...
- Anonymous hackea canales de televisión que sirven ...
- Mercado Libre también ha sido hackeado por LAPSUS$...
- Rusia podría permitir el software ilegal (pirata) ...
- Vulnerabilidad en cgroups v1 permite escapar de un...
- Aparecen los primeros malware con los certificados...
- Coinbase y Binance se niegan a expulsar a usuarios...
- Filtradas las credenciales de 71.355 empleados de ...
- Grupo Lapsus hackea Samsung y publica un torrent c...
- Bottles permite ejecutar software de Windows en Li...
- instalación y configuración de Docker en NAS QNAP ...
- IsaacWiper y HermeticWizard: un nuevo wiper y worm...
- Nuevo método ataque DrDDoS utilizando nuevo vector...
- EA elimina la selección Rusa y los equipos Rusos d...
- Miembro pro Ucraniano filtra chats internos, docum...
- Ciberataque detiene la producción del fabricante c...
- Google también veta el acceso a los canales de You...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
¿Quiénes son los miembros del grupo Lapsus? El líder es autista y tiene 17 años
Un grupo capaz de hackear empresas de la talla de LG, Samsung, Nvidia, Microsoft, EA, Vodafone Portugal, Okta, Ministerio de Salud de Brasil, Ubisoft y Mercado Libre. La identificación de uno de su miembros, quien sería Arion Kurtaj, un adolescente de 17 años (19 de febrero de 2005) de Oxford, Inglaterra, autista (va un colegio de educación especial) y es de origen Albano al que le encanta pescar. De acuerdo con varios investigadores, otro de los integrantes de LAPSUS$ identificado sería un adolescente de Brasil (de la policía) y serían 5 miembros en total. Se han producido 7 arrestos en Oxford de presuntos miembros de Lapsus, de entre 16 y 21 años.
Historia del LAPSUS$
LAPSUS$ solo ha estado activos durante unos 4 meses, pero actualmente están recibiendo mucha atención y es probable que más estén más activos, si bien han confirmado por Telegram que "algunos de sus miembros se encuentran de vacaciones". En el pasado, subieron publicaciones sobre empresas victimizadas y las amenazaron en foros de la web como RaidForums (ahora dado de baja) y Exploit.in, pero a partir del 10 de diciembre de 2021 crearon su propio canal de Telegram para promocionarse. El objetivo principal del grupo, que se estima está compuesto por al menos 5 miembros (algunos brasileños), es el dinero, y también se han confirmado algunos casos relacionados a su propia "diversión".
Los rastros del grupo se identificaron por primera vez el 15 de mayo de 2021 en el foro RaidForums. Afirmaron haber robado datos de SCHLUMBERGER, el proveedor de servicios de yacimientos petrolíferos más grande del mundo y subieron una publicación que decía que vendieron 836.000 datos que contenían información de clientes y empleados por 2 BTC. En este momento, aún se consideraba un grupo de ransomware y se presume que se usaban el nombre de APT 777 / GoldFish Team, no el nombre actual del equipo LAPSUS$.
Dos meses después, subieron una publicación amenazando con haber robado 780 GB de código fuente de EA, la empresa de desarrollo y distribución de juegos de clase mundial ubicada en los Estados Unidos, y amenazaron con filtrar datos si se negaban a su última negociación. En este artículo, también se mencionó su clave PGP, y al final se confirmó el nombre actual del equipo, LAPSUS$.
Luego, en octubre de 2021, hackearon el Ministerio de Salud de Brasil y abrieron un canal de Telegram para intimidarlos. El nombre de usuario de Telegram actual, sigue teniendo relación con dicho Ministerio.
LAPSUS$ ha estado reclutando "personal" a través de múltiples plataformas de redes sociales desde al menos noviembre de 2021. Uno de los miembros principales de LAPSUS$ que usó los apodos "Oklaqq" y "WhiteDoxbin" publicó mensajes de reclutamiento en Reddit el año pasado, ofreciendo a los empleados de AT&T, T- Mobile y Verizon hasta U$S 20.000 a la semana para realizar "trabajos internos". Muchos de los anuncios de reclutamiento de LAPSUS$ están escritos en inglés y portugués. Según la firma de ciberinteligencia Flashpoint, la mayor parte de las víctimas del grupo (15 de ellas) son de América Latina y Portugal.
Funcionamiento
Una vez que LAPSUS$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que hackearon en enero. Lapsus$ ha realizado recientemente numerosos ataques contra la empresa, incluidos NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, y después Microsoft.
- Instalación de Redline password stealer para obtener contraseñas y tokens de sesión.
- Compra de credenciales y tokens de sesión en foros clandestinos y criminales
- Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA).
- Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas
Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, watering holes, sitios warez y videos de YouTube.
OKTA confirmó recientemente que 366 clientes de OKTA se vieron afectados por el incidente y se espera que tenga un impacto significativo. En Telegram se mencionan varias empresas y organizaciones a las que secuestraron y divulgaron datos.
Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión. En al menos una oportunidad, LAPSUS$ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.
Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.
El grupo también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.
Allison Nixon es directora de investigación de Unit 221B, una consultora de ciberseguridad con sede en Nueva York que sigue de cerca a los ciberdelincuentes involucrados en el intercambio de tarjetas SIM. Trabajando con investigadores de la firma de seguridad Palo Alto Networks, Nixon ha estado rastreando a miembros individuales de LAPSUS$ antes de que formaran el grupo, y dice que las técnicas de ingeniería social adoptadas por el grupo han sido abusadas durante mucho tiempo para apuntar a empleados y contratistas que trabajan para las principales redes móviles y compañías telefónicas.
"También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios", explica Microsoft en su informe.
¿Quiénes son los miembros de LAPSUS$?
WhiteDoxbin, Arion Kurtaj, el aparente cabecilla de LAPSUS$, es la misma persona que el año pasado compró Doxbin, un sitio web de larga data basado en texto donde cualquiera puede publicar la información personal de un objetivo o encontrar datos personales que ya han sido "doxeados".
Aparentemente, el nuevo propietario de Doxbin no pudo mantener el sitio funcionando y los otros miembros estaban muy descontentos con su administración. En enero de 2022, WhiteDoxbin accedió a regañadientes a ceder el control de Doxbin, vendiendo el foro a su propietario anterior con una pérdida de dinero considerable. Sin embargo, justo antes de abandonar el foro, WhiteDoxbin filtró todo el conjunto de datos de Doxbin (incluidos los dox privados) a través de Telegram.
Arion pescando:
La comunidad de Doxbin respondió ferozmente, publicando un dox muy completo sobre WhiteDoxbin, incluidos videos supuestamente filmados por la noche fuera de su casa en el Reino Unido. Según el documento, WhiteDoxbin comenzó en el negocio de comprar y vender vulnerabilidades 0-Day y "lentamente comenzó a ganar dinero para expandir aún más su colección de exploits".
Aquí no se publica el supuesto nombre real de WhiteDoxbin porque es menor de edad (nacido el 19 de febrero de 2005, actualmente tiene 17 años) y porque esta persona no ha sido acusada oficialmente de ningún delito. Además, la entrada de Doxbin para este individuo incluye información personal sobre los miembros de su familia.
El padre de Arion
Lapsus en Telegram:
Nixon dijo que antes de lanzar LAPSUS$, WhiteDoxbin era miembro fundador de un grupo de ciberdelincuentes que se autodenominaba "Recursion Team". Según el sitio web ahora desaparecido del grupo, se especializaban principalmente en el intercambio de objetivos de interés de SIM y la participación en swatting attacks, en los que se llaman a la policía falsas amenazas de bomba, situaciones de rehenes y otros escenarios violentos como parte de un plan para engañar a las víctimas.
El padre del adolescente le dijo a la BBC: "Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado de hacking informático, pero es muy bueno con las computadoras y pasa mucho tiempo en la computadora. Siempre pensé que estaba jugando juegos"
Fuentes
https://blog.segu-info.com.ar/2022/03/metodos-de-ataques-de-lapsus-y-formas.html
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/
https://www.bleepingcomputer.com/news/security/nvidia-confirms-data-was-stolen-in-recent-cyberattack/
https://therecord.media/lapsus-ransomware-gang-hits-sic-portugals-largest-tv-channel/
https://www.titanhq.com/blog/lapsus-new-ransomware/
https://www.facebook.com/jornalexpresso/posts/10159301733392949
https://www.vodafone.pt/press-releases/2022/2/vodafone-portugal-alvo-de-ciberataque.html
https://ipi.media/portugals-expresso-newspaper-still-recovering-from-debilitating-ransomware-attack/
https://www.databreachtoday.com/lapsus-attacks-localiza-redirects-users-to-porn-site-a-18286
https://www.vodafone.pt/press-releases/2022/2/vodafone-portugal-alvo-de-ciberataque.html
https://www.telegraph.co.uk/business/2022/02/25/us-microchip-powerhouse-nvidia-hit-cyber-attack/
https://medium.com/s2wblog/footsteps-of-the-lapsus-hacking-group-73a8a143c375
https://twitter.com/vxunderground/status/1497484483494354946
https://twitter.com/MalwareTechBlog/status/1497829395251171329
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.