Después de una semana de desaparecida la banda de extorsión de datos LAPSUS$ anunció su regreso en Telegram, filtrando lo que dicen son datos de la empresa de servicios de software Globant.
"Estamos oficialmente de vuelta de las vacaciones", escribió el grupo en su canal de Telegram (que cuenta aproximadamente con 54.000 miembros) publicando imágenes de datos y credenciales extraídas pertenecientes a la infraestructura DevOps de la compañía.
Se puede decir que LAPSUS$ es relativamente nuevo en la escena de la extorsión de datos. Aunque las tácticas y los procedimientos del grupo carecen de sofisticación, sus miembros, que al parecer son jóvenes y técnicamente inmaduros, lo compensan con su persistencia.
La empresa de TI y desarrollo de software Globant dijo en un comunicado el miércoles que experimentó una violación de la red. La declaración parece confirmar las afirmaciones hechas por LAPSUS$.
Un post de Telegram incluía una captura de pantalla de datos supuestamente tomados de Globant, con sede en Luxemburgo, que opera en 18 países y tiene más de 23.500 empleados. Las carpetas de uno de los cachés de datos supuestamente robados tenían nombres como "apple-health-app", "Facebook", "C-SPAN" y "DHL", "Arcserve", "Banco Galicia", "BNP Paribas Cardif", "Citibanamex", "Stifel", entre otros. Otra publicación en el mismo canal pretendía mostrar las credenciales de acceso, muchas de ellas con contraseñas débiles, de algunos de los servidores que Globant utilizó para almacenar los datos.
Un enlace Torrent en el post indicaba que la caché filtrada de código fuente era de unos 70 GB, así como contraseñas de administrador asociadas al paquete de programas de la empresa Atlassian, incluyendo Confluence y Jira, y la herramienta de revisión de código Crucible.
Como señala el grupo de investigación de malware VX-Underground, las contraseñas no sólo son fáciles de adivinar, sino que además han sido reutilizadas en múltiples ocasiones, lo que ha llevado a LAPSUS$ a denunciar las "malas prácticas de seguridad en uso" en la empresa.
Repositorio de código vulnerado por "script kiddies" (la categoría de hackers más principiante)
"Recientemente hemos detectado que una sección limitada del repositorio de código de nuestra empresa ha sido objeto de un acceso no autorizado", escribieron los responsables de la empresa en un comunicado. "Hemos activado nuestros protocolos de seguridad y estamos llevando a cabo una investigación exhaustiva".
Hasta ahora, según el comunicado, los investigadores creen que los datos robados se "limitaron a cierto código fuente y a la documentación relacionada con el proyecto para un número muy limitado de clientes." La investigación actual aún no ha encontrado pruebas de que se hayan vulnerado otros datos o sistemas.
Como se menciona al inicio el grupo de hackers emplea una serie de métodos poco sofisticados para conseguir vulnerar a sus víctimas. Como para eludir las protecciones de autenticación de múltiples factores de algunos objetivos, por ejemplo, los miembros que obtenían las contraseñas intentaban entrar periódicamente en las cuentas afectadas, una técnica conocida como bombardeo de avisos MFA (Autenticación Multifactor). En muchos casos, los avisos pueden enviarse a través de una llamada telefónica normal.
"No hay límite en la cantidad de llamadas que se pueden hacer", escribió recientemente un miembro de LAPSUS$. "Llama al empleado 100 veces a la 1 de la madrugada mientras intenta dormir, y es más que probable que lo acepte. Una vez que el empleado acepte la llamada inicial, puedes acceder al portal de inscripción de MFA e inscribir otro dispositivo."
Otras técnicas incluían el intercambio de SIM y la ingeniería social. LAPSUS$ vas más allá de querer sobornar, una vez que una organización es objetivo, el grupo va a por sus clientes y empleados de sus contratistas.
Desde su aparición en diciembre de 2021, LAPSUS$ ha estado en el punto de mira por sus hackeos en Impresa, NVIDIA, Samsung, Vodafone, Ubisoft, Microsoft y Okta.
Según informaron la semana pasada, el blog KrebsOnSecurity y la compañía estadounidense Bloomberg, uno de los principales miembros de LAPSUS$ es un joven de 16 años que vive en Oxford, Inglaterra. Un día después, la policía londinense dijo que al menos uno de los siete individuos detenidos sospechosos de hackeo que arrestaron tenía 16 años.
"Pero, suponiendo que [los sospechosos] lo sean, seguimos sin saber cuántos otros individuos están asociados a la operación o dónde pueden estar basados", escribió Brett Callow, analista de amenazas de la empresa de seguridad Emsisoft. "Por ejemplo, al menos uno de los miembros parece ser un hablante nativo -o, más exactamente, escritor- de portugués brasileño".