Dos adolescentes del Reino Unido han sido condenados por un jurado en Londres por ser parte de la notoria pandilla transnacional LAPSUS$ y por orquestar una serie de audaces y destacados ataques contra importantes empresas de tecnologÃa, exigiendo un rescate a cambio de no filtrar la información robada.
Esto incluye a Arion Kurtaj (también conocido como White, Breachbase, WhiteDoxbin y TeaPotUberHacker), un joven de 18 años de Oxford, y un menor no identificado, quienes comenzaron a colaborar en julio de 2021 después de haberse conocido en lÃnea, informó la BBC esta semana. Ambos acusados fueron arrestados inicialmente y liberados bajo investigación en enero de 2022, solo para ser arrestados nuevamente y acusados por la PolicÃa de la Ciudad de Londres en abril de 2022. Posteriormente, a Kurtaj se le otorgó libertad bajo fianza y se trasladó a un hotel en Bicester después de que su información personal fuera revelada en un foro en lÃnea de ciberdelincuencia.
Sin embargo, continuó su oleada de hackeos, atacando a empresas como Uber, Revolut y Rockstar Games, lo que resultó en su arresto nuevamente en septiembre. Otro presunto miembro del grupo fue detenido por las autoridades brasileñas en octubre de 2022.
El factor central para llevar a cabo los esquemas de extorsión fue su capacidad para realizar intercambios de SIM y ataques de bombardeo para obtener acceso no autorizado a redes corporativas después de una fase extensa de ingenierÃa social. La operación motivada financieramente también implicaba publicar mensajes en su canal de Telegram para solicitar a insiders corruptos que pudieran proporcionar credenciales de Red Privada Virtual (VPN), Infraestructura de Escritorio Virtual (VDI) o Citrix a las organizaciones.
Un informe reciente del gobierno de Estados Unidos encontró que los actores ofrecÃan hasta $20,000 por semana por acceso a proveedores de telecomunicaciones para llevar a cabo los ataques de intercambio de SIM. Caracterizó a LAPSUS$ como único por su "eficacia, rapidez, creatividad y audacia", y por utilizar un "manual de técnicas efectivas".
"Para ejecutar intercambios fraudulentos de SIM, LAPSUS$ obtenÃa información básica sobre sus vÃctimas, como su nombre, número de teléfono e información de red de propiedad del cliente (CPNI)", dijo el Cyber Safety Review Board (CSRB) del Departamento de Seguridad Nacional (DHS) de EE. UU. "LAPSUS$ obtenÃa la información de diversas maneras, incluyendo la emisión de Solicitudes de Divulgación de Emergencia fraudulentas y el uso de técnicas de toma de control de cuentas, para secuestrar las cuentas de empleados y contratistas de proveedores de telecomunicaciones."
"Luego realizaba intercambios fraudulentos de SIM a través de las herramientas de gestión de clientes del proveedor de telecomunicaciones. Después de ejecutar los intercambios fraudulentos de SIM, LAPSUS$ se apoderaba de las cuentas en lÃnea a través de flujos de inicio de sesión y recuperación de cuentas que enviaban enlaces de un solo uso o códigos de MFA a través de SMS o llamadas telefónicas."
Otros métodos de acceso inicial iban desde emplear los servicios de intermediarios de acceso inicial (IAB) hasta la explotación de fallas de seguridad, después de lo cual los actores tomaban medidas para elevar privilegios, moverse lateralmente en la red, establecer acceso persistente a través de software de escritorio remoto como AnyDesk y TeamViewer, y desactivar herramientas de monitoreo de seguridad. Entre las empresas infiltradas por LAPSUS$ se encontraban BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Samsung, Ubisoft y Vodafone. Actualmente no está claro si alguna de las empresas afectadas pagó rescates. Se espera que los adolescentes sean sentenciados en una fecha posterior.
"El grupo se hizo conocido porque atacó con éxito a organizaciones bien defendidas utilizando una ingenierÃa social altamente efectiva; atacó cadenas de suministro comprometiendo a proveedores de externalización de procesos comerciales (BPO) y proveedores de telecomunicaciones; y utilizó su canal público de Telegram para discutir sus operaciones, objetivos y éxitos, e incluso para comunicarse y extorsionar a sus objetivos", dijo el CSRB.
¿Quieres saber más?