El grupo de extorsión LAPSUS$ se ha callado luego de un notorio y rápido aumento en el panorama de amenazas, apuntando a empresas como Microsoft, NVIDIA y Okta, y ganando notoriedad por su enfoque descentralizado y despreocupado del delito cibernético.
Sin embargo, los investigadores dijeron que es probable que el grupo no se haya ido y, en cualquier caso, sus tácticas "descaradas" pueden dejar un legado.
Un nuevo informe del especialista en gestión de exposición Tenable profundiza en los antecedentes del grupo y las tácticas, técnicas y procedimientos (TTP) que ha utilizado, madurando desde ataques distribuidos de denegación de servicio (DDoS) y vandalismo en sitios web hasta métodos más sofisticados. Estos incluyen el uso de técnicas de ingeniería social para restablecer las contraseñas de los usuarios y cooptar herramientas de autenticación multifactor (MFA).
“Caracterizado por un comportamiento errático y demandas extravagantes que no se pueden cumplir, en un momento, el grupo incluso acusó a un objetivo de piratear, la permanencia del grupo LAPSUS$ al frente del ciclo de noticias de seguridad cibernética fue caótica”, dijo el notas de informe.
Caos, Falta de Lógica Parte del Plan
“Absolutamente podría llamar a LAPSUS$ 'un poco de punk rock', pero trato de evitar que los malos actores suenen tan geniales”, señala Claire Tills, ingeniera de investigación sénior de Tenable. “Sus enfoques caóticos e ilógicos de los ataques hicieron que fuera mucho más difícil predecir o prepararse para los incidentes, a menudo atrapando a los defensores con el pie en la zaga”.
Ella explica que tal vez debido a la estructura descentralizada del grupo y las decisiones de colaboración abierta, su perfil objetivo está por todas partes, lo que significa que las organizaciones no pueden operar desde el punto de vista de "no somos un objetivo interesante" con actores como LAPSUS$.
Tills agrega que siempre es difícil decir si un grupo de amenazas ha desaparecido, ha cambiado de nombre o simplemente se ha quedado temporalmente inactivo.
“Independientemente de si el grupo que se identifica como LAPSUS$ alguna vez reclama otra víctima, las organizaciones pueden aprender lecciones valiosas sobre este tipo de actor”, dice. “Varios otros grupos exclusivos de extorsión han ganado prominencia en los últimos meses, probablemente inspirados por la breve y bulliciosa carrera de LAPSUS$”.
Como se señala en el informe, es probable que los grupos de extorsión apunten a entornos en la nube, que a menudo contienen información valiosa y confidencial que buscan los grupos de extorsión.
“A menudo, también están mal configurados de manera que ofrecen a los atacantes acceso a dicha información con permisos más bajos”, agrega Tills. “Las organizaciones deben asegurarse de que sus entornos en la nube estén configurados con principios de privilegios mínimos e instituir un monitoreo sólido para detectar comportamientos sospechosos”.
Al igual que con muchos actores de amenazas, dice, la ingeniería social sigue siendo una táctica confiable para los grupos de extorsión, y el primer paso que muchas organizaciones deberán tomar es asumir que podrían ser un objetivo.
“Después de eso, las prácticas sólidas como la autenticación multifactorial y sin contraseña son fundamentales”, explica. “Las organizaciones también deben evaluar y remediar continuamente las vulnerabilidades conocidas explotadas, particularmente en productos de redes privadas virtuales, protocolo de escritorio remoto y Active Directory”.
Agrega que si bien el acceso inicial generalmente se logró a través de la ingeniería social, las vulnerabilidades heredadas son invaluables para los actores de amenazas cuando buscan elevar sus privilegios y moverse lateralmente a través de los sistemas para obtener acceso a la información más confidencial que puedan encontrar.
Es probable que los miembros de LAPSUS$ sigan activos
El hecho de que LAPSUS$ haya estado en silencio durante meses no significa que el grupo haya desaparecido repentinamente. Los grupos de delitos cibernéticos a menudo se apagan para mantenerse fuera del centro de atención, reclutar nuevos miembros y refinar sus TTP.
“No nos sorprendería ver que LAPSUS$ resurja en el futuro, posiblemente con un nombre diferente en un esfuerzo por distanciarse de la infamia del nombre LAPSUS$”, dice Brad Crompton, director de inteligencia de Shared Services de Intel 471.
Explica que a pesar de que los miembros del grupo LAPSUS$ han sido arrestados, cree que los canales de comunicación del grupo permanecerán operativos y que muchos negocios serán atacados por actores de amenazas una vez afiliados al grupo.
“Además, también podemos ver a estos miembros anteriores del grupo LAPSUS$ desarrollar nuevos TTP o potencialmente crear derivados del grupo con miembros confiables del grupo”, dice. “Sin embargo, es poco probable que estos sean grupos públicos y probablemente implementarán un mayor grado de seguridad operativa, a diferencia de sus predecesores”.
El dinero como principal motivador
Casey Ellis, fundador y director de tecnología de Bugcrowd, un proveedor de ciberseguridad colaborativo, explica que los ciberdelincuentes están motivados por el dinero, mientras que los estados-nación están motivados por objetivos nacionales. Entonces, aunque LAPSUS$ no sigue las reglas, sus acciones son algo predecibles.
“El aspecto más peligroso, en mi opinión, es que la mayoría de las organizaciones han pasado los últimos cinco años o más desarrollando estrategias defensivas simétricas basadas en actores de amenazas con definiciones y objetivos razonablemente bien definidos”, dice. “Cuando se introduce un actor de amenazas caótico en la mezcla, el juego se inclina y se vuelve asimétrico, y mi principal preocupación sobre LAPSUS$ y otros actores similares es que los defensores no se han estado preparando para este tipo de amenazas durante bastante tiempo”.
Señala que LAPSUS$ depende en gran medida de la ingeniería social para ganar un punto de apoyo inicial, por lo que evaluar la preparación de su organización para las amenazas de ingeniería social, tanto en los niveles de capacitación humana como de control técnico, es una precaución prudente que se debe tomar aquí.
Ellis dice que si bien los objetivos declarados de LAPSUS$ y Anonymous/Antisec/Lulzsec son muy diferentes, cree que se comportarán de manera similar en el futuro como actores de amenazas.
Él dice que la evolución de Anonymous a principios de la década de 2010 vio a varios subgrupos y actores ascender a la prominencia, luego desvanecerse, solo para ser reemplazados por otros que replicaron y duplicaron las técnicas exitosas.
“Quizás LAPSUS$ haya desaparecido por completo y para siempre”, dice, “pero, como defensor, no confiaría en esto como mi principal estrategia defensiva contra este tipo de amenaza caótica”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
