top of page

Dos hackers de LAPSUS$ son condenados en tribunal de Londres por hackeos de alto perfil a empresas



Dos adolescentes del Reino Unido han sido condenados por un jurado en Londres por ser parte de la notoria pandilla transnacional LAPSUS$ y por orquestar una serie de audaces y destacados ataques contra importantes empresas de tecnología, exigiendo un rescate a cambio de no filtrar la información robada.


Esto incluye a Arion Kurtaj (también conocido como White, Breachbase, WhiteDoxbin y TeaPotUberHacker), un joven de 18 años de Oxford, y un menor no identificado, quienes comenzaron a colaborar en julio de 2021 después de haberse conocido en línea, informó la BBC esta semana. Ambos acusados fueron arrestados inicialmente y liberados bajo investigación en enero de 2022, solo para ser arrestados nuevamente y acusados por la Policía de la Ciudad de Londres en abril de 2022. Posteriormente, a Kurtaj se le otorgó libertad bajo fianza y se trasladó a un hotel en Bicester después de que su información personal fuera revelada en un foro en línea de ciberdelincuencia.


Sin embargo, continuó su oleada de hackeos, atacando a empresas como Uber, Revolut y Rockstar Games, lo que resultó en su arresto nuevamente en septiembre. Otro presunto miembro del grupo fue detenido por las autoridades brasileñas en octubre de 2022.



El factor central para llevar a cabo los esquemas de extorsión fue su capacidad para realizar intercambios de SIM y ataques de bombardeo para obtener acceso no autorizado a redes corporativas después de una fase extensa de ingeniería social. La operación motivada financieramente también implicaba publicar mensajes en su canal de Telegram para solicitar a insiders corruptos que pudieran proporcionar credenciales de Red Privada Virtual (VPN), Infraestructura de Escritorio Virtual (VDI) o Citrix a las organizaciones.


Un informe reciente del gobierno de Estados Unidos encontró que los actores ofrecían hasta $20,000 por semana por acceso a proveedores de telecomunicaciones para llevar a cabo los ataques de intercambio de SIM. Caracterizó a LAPSUS$ como único por su "eficacia, rapidez, creatividad y audacia", y por utilizar un "manual de técnicas efectivas".


"Para ejecutar intercambios fraudulentos de SIM, LAPSUS$ obtenía información básica sobre sus víctimas, como su nombre, número de teléfono e información de red de propiedad del cliente (CPNI)", dijo el Cyber Safety Review Board (CSRB) del Departamento de Seguridad Nacional (DHS) de EE. UU. "LAPSUS$ obtenía la información de diversas maneras, incluyendo la emisión de Solicitudes de Divulgación de Emergencia fraudulentas y el uso de técnicas de toma de control de cuentas, para secuestrar las cuentas de empleados y contratistas de proveedores de telecomunicaciones."


"Luego realizaba intercambios fraudulentos de SIM a través de las herramientas de gestión de clientes del proveedor de telecomunicaciones. Después de ejecutar los intercambios fraudulentos de SIM, LAPSUS$ se apoderaba de las cuentas en línea a través de flujos de inicio de sesión y recuperación de cuentas que enviaban enlaces de un solo uso o códigos de MFA a través de SMS o llamadas telefónicas."


Otros métodos de acceso inicial iban desde emplear los servicios de intermediarios de acceso inicial (IAB) hasta la explotación de fallas de seguridad, después de lo cual los actores tomaban medidas para elevar privilegios, moverse lateralmente en la red, establecer acceso persistente a través de software de escritorio remoto como AnyDesk y TeamViewer, y desactivar herramientas de monitoreo de seguridad. Entre las empresas infiltradas por LAPSUS$ se encontraban BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Samsung, Ubisoft y Vodafone. Actualmente no está claro si alguna de las empresas afectadas pagó rescates. Se espera que los adolescentes sean sentenciados en una fecha posterior.


"El grupo se hizo conocido porque atacó con éxito a organizaciones bien defendidas utilizando una ingeniería social altamente efectiva; atacó cadenas de suministro comprometiendo a proveedores de externalización de procesos comerciales (BPO) y proveedores de telecomunicaciones; y utilizó su canal público de Telegram para discutir sus operaciones, objetivos y éxitos, e incluso para comunicarse y extorsionar a sus objetivos", dijo el CSRB.


¿Quieres saber más?


78 visualizaciones0 comentarios

Comentarios


bottom of page