Un grupo capaz de hackear empresas de la talla de LG, Samsung, Nvidia, Microsoft, EA, Vodafone Portugal, Okta, Ministerio de Salud de Brasil, Ubisoft y Mercado Libre. La identificación de uno de su miembros, quien sería Arion Kurtaj, un adolescente de 17 años (19 de febrero de 2005) de Oxford, Inglaterra, autista (va un colegio de educación especial) y es de origen Albano al que le encanta pescar. De acuerdo con varios investigadores, otro de los integrantes de LAPSUS$ identificado sería un adolescente de Brasil  (de la policía) y serían 5 miembros en total. Se han producido 7 arrestos en Oxford de presuntos miembros de Lapsus, de  entre 16 y 21 años.

Historia del LAPSUS$

LAPSUS$ solo ha estado activos durante unos 4 meses, pero actualmente están recibiendo mucha atención y es probable que más estén más activos, si bien han confirmado por Telegram que "algunos de sus miembros se encuentran de vacaciones". En el pasado, subieron publicaciones sobre empresas victimizadas y las amenazaron en foros de la web como RaidForums (ahora dado de baja) y Exploit.in, pero a partir del 10 de diciembre de 2021 crearon su propio canal de Telegram para promocionarse. El objetivo principal del grupo, que se estima está compuesto por al menos 5 miembros (algunos brasileños), es el dinero, y también se han confirmado algunos casos relacionados a su propia "diversión". 

Los rastros del grupo se identificaron por primera vez el 15 de mayo de 2021 en el foro RaidForums. Afirmaron haber robado datos de SCHLUMBERGER, el proveedor de servicios de yacimientos petrolíferos más grande del mundo y subieron una publicación que decía que vendieron 836.000 datos que contenían información de clientes y empleados por 2 BTC. En este momento, aún se consideraba un grupo de ransomware y se presume que se usaban el nombre de APT 777 / GoldFish Team, no el nombre actual del equipo LAPSUS$. 

   Dos meses después, subieron una publicación amenazando con haber robado 780 GB de código fuente de EA, la empresa de desarrollo y distribución de juegos de clase mundial ubicada en los Estados Unidos, y amenazaron con filtrar datos si se negaban a su última negociación. En este artículo, también se mencionó su clave PGP, y al final se confirmó el nombre actual del equipo, LAPSUS$.

Luego, en octubre de 2021, hackearon el Ministerio de Salud de Brasil y abrieron un canal de Telegram para intimidarlos. El nombre de usuario de Telegram actual, sigue teniendo relación con dicho Ministerio. 

   LAPSUS$ ha estado reclutando "personal" a través de múltiples plataformas de redes sociales desde al menos noviembre de 2021. Uno de los miembros principales de LAPSUS$ que usó los apodos "Oklaqq" y "WhiteDoxbin" publicó mensajes de reclutamiento en Reddit el año pasado, ofreciendo a los empleados de AT&T, T- Mobile y Verizon hasta U$S 20.000 a la semana para realizar "trabajos internos". Muchos de los anuncios de reclutamiento de LAPSUS$ están escritos en inglés y portugués. Según la firma de ciberinteligencia Flashpoint, la mayor parte de las víctimas del grupo (15 de ellas) son de América Latina y Portugal.

Funcionamiento

• Instalación de Redline password stealer para obtener contraseñas y tokens de sesión.
• Compra de credenciales y tokens de sesión en foros clandestinos y criminales
• Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA).
• Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas

Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, watering holes, sitios warez y videos de YouTube.

OKTA confirmó recientemente que 366 clientes de OKTA se vieron afectados por el incidente y se espera que tenga un impacto significativo. En Telegram se mencionan varias empresas y organizaciones a las que secuestraron y divulgaron datos.

   Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión. En al menos una oportunidad, LAPSUS$ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.

El grupo también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

   Allison Nixon es directora de investigación de Unit 221B, una consultora de ciberseguridad con sede en Nueva York que sigue de cerca a los ciberdelincuentes involucrados en el intercambio de tarjetas SIM. Trabajando con investigadores de la firma de seguridad Palo Alto Networks, Nixon ha estado rastreando a miembros individuales de LAPSUS$ antes de que formaran el grupo, y dice que las técnicas de ingeniería social adoptadas por el grupo han sido abusadas durante mucho tiempo para apuntar a empleados y contratistas que trabajan para las principales redes móviles y compañías telefónicas.

"También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios", explica Microsoft en su informe.

¿Quiénes son los miembros de LAPSUS$?

WhiteDoxbin, Arion Kurtaj, el aparente cabecilla de LAPSUS$, es la misma persona que el año pasado compró Doxbin, un sitio web de larga data basado en texto donde cualquiera puede publicar la información personal de un objetivo o encontrar datos personales que ya han sido "doxeados".

Aparentemente, el nuevo propietario de Doxbin no pudo mantener el sitio funcionando y los otros miembros estaban muy descontentos con su administración. En enero de 2022, WhiteDoxbin accedió a regañadientes a ceder el control de Doxbin, vendiendo el foro a su propietario anterior con una pérdida de dinero considerable. Sin embargo, justo antes de abandonar el foro, WhiteDoxbin filtró todo el conjunto de datos de Doxbin (incluidos los dox privados) a través de Telegram.

Arion pescando:

La comunidad de Doxbin respondió ferozmente, publicando un dox muy completo sobre WhiteDoxbin, incluidos videos supuestamente filmados por la noche fuera de su casa en el Reino Unido. Según el documento, WhiteDoxbin comenzó en el negocio de comprar y vender vulnerabilidades 0-Day y "lentamente comenzó a ganar dinero para expandir aún más su colección de exploits".

Aquí no se publica el supuesto nombre real de WhiteDoxbin porque es menor de edad (nacido el 19 de febrero de 2005, actualmente tiene 17 años) y porque esta persona no ha sido acusada oficialmente de ningún delito. Además, la entrada de Doxbin para este individuo incluye información personal sobre los miembros de su familia. 

El padre de Arion

Lapsus en Telegram:

Nixon dijo que antes de lanzar LAPSUS$, WhiteDoxbin era miembro fundador de un grupo de ciberdelincuentes que se autodenominaba "Recursion Team". Según el sitio web ahora desaparecido del grupo, se especializaban principalmente en el intercambio de objetivos de interés de SIM y la participación en swatting attacks, en los que se llaman a la policía falsas amenazas de bomba, situaciones de rehenes y otros escenarios violentos como parte de un plan para engañar a las víctimas. 

El padre del adolescente le dijo a la BBC: "Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado de hacking informático, pero es muy bueno con las computadoras y pasa mucho tiempo en la computadora. Siempre pensé que estaba jugando juegos" 

Fuentes