el curioso nombre LAPSUS$ hecho grandes titulares en marzo de 2022 como el apodo de una pandilla de piratas informáticos o, en palabras sencillas, como la etiqueta de un colectivo notorio y activo de ciberdelincuentes:

El nombre era un tanto inusual para un equipo de ciberdelincuencia, que comúnmente adopta sobrenombres que suenan nerviosos y destructivos, como CERROJO, Satanás, Darksidey Malvado.

Sin embargo, como mencionamos en marzo, caducar es una palabra latina moderna tan buena como cualquier otra para "violación de datos", y el signo de dólar final significa tanto valor financiero como programación, siendo la forma tradicional de indicar que la variable BÁSICA es una cadena de texto, no un número.

La pandilla, el equipo, la tripulación, la pandilla, el colectivo, la manada, llámelo como quiera, de los atacantes aparentemente presentó un tipo similar de ambigüedad en su ciberdelincuencia.

A veces, parecían demostrar que hablaban en serio acerca de extorsionar dinero o robar criptomonedas a sus víctimas, pero en otras ocasiones parecían simplemente estar presumiendo.

Microsoft admitió en ese momento que había sido infiltrado por LAPSUS$, aunque el gigante del software se refirió al grupo como DEV-5037, y los delincuentes aparentemente robaron gigabytes de código fuente.

Okta, un proveedor de servicios 2FA, fue otra víctima de alto perfil, donde los piratas informáticos adquirieron acceso RDP a la computadora de un técnico de soporte y, por lo tanto, pudieron acceder a una amplia gama de sistemas internos de Okta como si estuvieran conectados directamente a la propia red de Okta. .

Ese técnico de soporte no funcionó para Okta, sino para una empresa contratada por Okta, por lo que los atacantes esencialmente pudieron violar la red de Okta sin violar la propia Okta.

Curiosamente, a pesar de que el incumplimiento de Okta ocurrió en enero de 2022, ni Okta ni su contratista admitieron públicamente el incumplimiento durante aproximadamente dos meses, mientras que un examen forense tuvo lugar…

…hasta que LAPSUS$ aparentemente decidió adelantarse a cualquier anuncio oficial por descargando capturas de pantalla para “probar” el incumplimiento, irónicamente el mismo día en que Okta recibió el informe forense final del contratista (se desconoce cómo, o si, LAPSUS$ recibió una advertencia previa de la entrega del informe):

El siguiente en el expediente de ataque fue el proveedor de chips gráficos Nvidia, quien aparentemente también sufrió un robo de datos, seguido por uno de los Las demandas de extorsión más extrañas del ransomware con una diferencia registrado: abra el código de su controlador de gráficos, o de lo contrario:

Como dijimos en el podcast Naked Security (T3 Ep73):

Normalmente, la conexión entre la criptomoneda y el ransomware es la cifra de los ladrones: "Vaya, compre criptomonedas y envíenoslas, y descifraremos todos sus archivos y/o eliminaremos sus datos". […]

Pero en este caso, la conexión con la criptomoneda fue que dijeron: "Nos olvidaremos de la enorme cantidad de datos que robamos si abre sus tarjetas gráficas para que puedan criptominar a toda potencia".

Porque eso se remonta a un cambio que hizo Nvidia el año pasado [2021], que fue muy popular entre los jugadores [al disuadir a los criptomineros de comprar todas las GPU Nvidia en el mercado para fines no gráficos].

¿Un tipo diferente de ciberdelincuente?

A pesar de que las actividades en línea atribuidas a LAPSUS$ han sido graves y descaradamente criminales, el comportamiento posterior a la explotación del grupo a menudo parecía bastante anticuado.

A diferencia de los atacantes de ransomware multimillonarios de hoy en día, cuyas motivaciones principales son el dinero, el dinero y más dinero, LAPSUS$ aparentemente se alineó más estrechamente con la escena de creación de virus de finales de los 1980 y los 1990, donde los ataques se realizaban comúnmente simplemente por fanfarronear y "por el lulz”.

(La frase para el lulz se traduce aproximadamente como para provocar una risa insultantemente alegre, basado en las siglas LOL, abreviatura de "reírse a carcajadas".)

Entonces, cuando la policía de la ciudad de Londres anunció, solo dos días después de que aparecieran las capturas de pantalla no tan alegres del ataque de Okta, que había detenido lo que sonaba como un grupo variopinto de jóvenes en el Reino Unido por supuestamente ser miembros de un grupo de piratería...

…los medios de TI del mundo se conectaron rápidamente con LAPSUS$:

Hasta donde sabemos, las fuerzas del orden del Reino Unido nunca han usado la palabra LAPSUS$ en relación con los sospechosos de ese arresto, señalando en marzo de 2022 simplemente que “Nuestras investigaciones siguen en curso”.

Sin embargo, se infirió un vínculo aparente con LAPSUS$ del hecho de que se decía que uno de los jóvenes arrestados tenía 17 años y provenía de Oxfordshire en Inglaterra.

Curiosamente, un hacker de esa edad que supuestamente vivía en un pueblo a las afueras de Oxford, la ciudad que da nombre al condado circundante, había sido descubierto por un rival descontento del cibercrimen no mucho antes, en lo que se conoce como un Doxxing.

Doxxing es cuando un ciberdelincuente publica documentos y detalles personales robados a propósito, a menudo para poner a un individuo en riesgo de arresto por parte de la policía, o en peligro de represalias por parte de oponentes mal informados o malévolos.

El doxxer filtró lo que, según él, era la dirección de la casa de su rival, junto con detalles personales y fotos de él y familiares cercanos, así como un montón de acusaciones de que él era una especie de pieza clave en el equipo de LAPSUS$.

LAPUS$ vuelve a ser el centro de atención

Como se puede imaginar, la reciente Historias de hackeo de Uber revivió el nombre LAPSUS$, dado que en ese caso se decía que el atacante tenía 18 años y aparentemente solo estaba interesado en presumir:

Como explicó Chester Wisniewski en un reciente minisodio de podcast:

[E]n este caso, […] parece ser “para los lulz”. [… L] a persona que lo hizo recolectó principalmente trofeos a medida que rebotaban a través de la red, en forma de capturas de pantalla de todas [las] ​​diferentes herramientas, utilidades y programas que se usaban en Uber, y los publicó públicamente, supongo. para la credibilidad de la calle.

Poco después del hackeo de Uber, se filtró casi una hora de lo que parecían ser videoclips del próximo juego GTA6, aparentemente capturas de pantalla hechas con fines de depuración y prueba, luego de una intrusión en los juegos de Rockstar.

Una vez más, el mismo joven hacker, con la misma supuesta conexión con LAPSUS$, estuvo implicado en el ataque.

Esta vez, los informes sugieren que el hacker tenía más en mente que simplemente fanfarronear, supuestamente diciendo que eran “Buscando negociar un trato”.

Entonces, cuando la policía de la ciudad de Londres tuiteó a principios de esta semana que tenían “arrestaron a un joven de 17 años en Oxfordshire bajo sospecha de piratería informática”...

En la tarde del jueves 22 de septiembre de 2022, la policía de la ciudad de Londres arrestó a un joven de 17 años en Oxfordshire bajo sospecha de piratería, como parte de una investigación apoyada por el @NCA_ESUnidad Nacional de Delitos Cibernéticos (NCCU).

Permanece bajo custodia policial. pic.twitter.com/Zfa3OlDR6J

— Policía de la ciudad de Londres (@CityPolice) 23 de septiembre de 2022

…te puedes imaginar a qué conclusiones llegó rápidamente la Twitteresfera.

¡Debe ser la misma persona!

Después de todo, ¿cuál es la probabilidad de que estemos hablando de dos sospechosos diferentes y desconectados aquí?

Lo único que no sabemos es dónde entra el apodo LAPSUS$, si es que está involucrado.

¡Oh, qué telaraña tan enredada tejemos/cuando primero practicamos el engaño!

APRENDA CÓMO EVITAR LOS ATAQUES AL ESTILO LAPSUS$