Arrestan a siete jóvenes supuestos miembros de una peligrosa banda de ciberdelincuentes

La policía de la ciudad de Londres arrestó a siete personas sospechosas de estar relacionadas con la banda Lapsus$.

La redada se produjo pocas horas después de que Bloomberg publicara un informe sobre un adolescente que vive en la casa de su madre cerca de Oxford, Inglaterra, del que se sospecha que es el autor intelectual de Lapsus$.

La policía no confirmó si atraparon o no al adolescente de Oxford, per se.

En cualquier caso, dado que es menor de edad, sería ilegal identificarlo. Según el periodista de seguridad Brian Krebs, el adolescente tiene 17 años, aunque la BBC afirma que su edad es de 16.

Pero si sirve de algo, todos los sospechosos son jóvenes. En un comunicado, la policía de la ciudad de Londres dijo que los siete jóvenes tienen entre 16 y 21 años.

“La policía de la ciudad de Londres ha estado realizando una investigación con sus socios sobre los miembros de un grupo de hacking. Siete personas de entre 16 y 21 años han sido arrestadas en relación con esta investigación y todas han sido liberadas bajo investigación. Nuestras investigaciones siguen en curso”.

Michael O’Sullivan – Detective

Según los informes, los investigadores dijeron que se sospecha que otro miembro de Lapsus$ es un adolescente que reside en Brasil. Bien podría haber más: otro investigador le dijo al medio que los investigadores de seguridad identificaron siete cuentas únicas asociadas con Lapsus$. Esto indica que es probable que haya otras personas involucradas en las operaciones del grupo.

Banda muy activa

En los últimos meses, Lapsus$, un grupo de extorsión de datos, apuntó al Ministerio de Salud de Brasil y al gigante de los juegos Ubisoft. Y, en las últimas semanas, atacó a gigantes tecnológicos como Samsung, Nvidia, Microsoft y Okta.

Allison Nixon, directora de investigación de la Unidad 221B, es una de las investigadoras que ha estado rastreando al adolescente de Oxford. El adolescente, según los investigadores, usa los alias en línea “White”, “Breachbase” u “Oklaqq”, entre otros nombres.

Ella ha estado trabajando con investigadores de la empresa de seguridad Palo Alto Networks para rastrear a miembros individuales de LAPSUS$ incluso antes de la formación del grupo. Nixon le dijo a KrebsOnSecurity que está convencida de que el individuo White/OklAGG es el líder. Esto porque entre otras cosas, la identidad se ha vinculado al mensaje de reclutamiento del grupo Lapsus$ para miembros de empresas que les han ayudado a penetrar en las organizaciones objetivo.

“Doxeado”

Nixon le dijo a la BBC que los investigadores tenían el nombre del adolescente de Oxford desde mediados del año pasado. Lo identificaron incluso antes de que adquiriera el foro de hacking Doxbin. Doxbin es un sitio donde las personas pueden publicar o filtrar los datos personales de cientos de miles de personas que han sido doxeadas. 

Al no poder mantener el sitio funcionando sin problemas, los principales miembros del portal le reclamaron a White que estaban descontentos de su administración, atacándolo y acosándolo. Finalmente, cedió el control de Doxbin a su propietario anterior.

Terminó vendiendo el foro a su propietario anterior, con pérdidas, y luego filtró todo el conjunto de datos de Doxbin, lo que llevó a la comunidad de Doxbin a vengarse. Krebs informó que filtraron  “videos supuestamente filmados en la noche fuera de su casa en el Reino Unido”, junto con su nombre, dirección e imágenes en las redes sociales.

La comunidad de Doxbin también publicó un currículum vitae de su carrera como hacker, una carrera que supuestamente lo hizo inmensamente rico en poco tiempo. Su presentación en Doxbin también lo conectó con Lapsus$. Según los informes, la biografía es la  siguiente:

“… Después de unos años, su patrimonio neto se acumuló a más de 300 BTC (cerca de $14 millones) … [Él] ahora está afiliado a un grupo de aspirantes a ransomware conocido como ‘Lapsus$’, que ha estado extorsionando y ‘hackeando’ a varias organizaciones”.

Nixon dijo que la Unidad 221B, trabajando con Palo Alto, identificó al ciberdelincuente. Posteriormente, observaron sus acciones a lo largo de 2021, “enviando periódicamente a las autoridades un aviso sobre los últimos crímenes”.

Ella dijo que los investigadores lo rastrearon “observando el historial de publicaciones de una cuenta y viendo que las publicaciones más antiguas brindaban información de contacto”. “White” también ayudó, al no poder cubrir sus huellas.

Ataques a grandes empresas

Después de sus infracciones, Lapsus$ publicó el código fuente robado en el canal de Telegram del grupo. Esto incluyó el código robado del servidor Azure DevOps de Microsoft para los productos Bing y Cortana de la empresa. Lapsus$ también publicó capturas de pantalla de los canales de Slack de Okta y la interfaz de Cloudflare. Cloudflare es uno de los miles de clientes que utilizan la tecnología de Okta para proporcionar autenticación a sus empleados.

En febrero, el grupo también robó dos de los certificados de firma de código de Nvidia, Posteriormente, usaron los certificados para firmar malware, lo que permitió que los programas maliciosos evadieran las protecciones de seguridad en las máquinas con Windows.

Después de sus ataques que acapararon los titulares contra Microsoft y Okta el pasado fin de semana, Lapsus$ anunció el martes que se tomaría un descanso.

“Algunos de nuestros miembros tienen vacaciones hasta el 30/3/2022. Es posible que estemos inactivos por algunos momentos. Gracias por entendernos. – Intentaremos filtrar cosas lo antes posible”.

Mensaje en el canal de Telegram del grupo. 

Motivaciones

Ken Westin, director de estrategia de seguridad de Cybereason, dijo que es difícil adivinar la motivación del supuesto adolescente “autor intelectual”. Muchos habían especulado que se trataba de un sindicato de ciberdelincuentes organizados o de posibles hackers patrocinados por un estado. 

Cualquiera que sea la motivación del adolescente (se dice que tiene autismo), Westin cree que la comunidad de seguridad subestima a la generación más joven. “Olvidamos que los adolescentes de hoy no solo han crecido con computadoras, sino que también tienen acceso a una cantidad sin precedentes de recursos educativos sobre programación y seguridad ofensiva”.

“Especulé que el grupo era joven en base a su modus operandi, o la falta de él, era como si estuvieran sorprendidos por su éxito y no supieran qué hacer con él. En algunas de sus comunicaciones, su lenguaje parecía más interesado en la notoriedad y estaban a la defensiva de sus capacidades y logros, más que cualquier motivación financiera”. 

Por supuesto, cuando se trata de adivinar cuál podría ser la motivación de alguien para enfrentarse a las empresas tecnológicas más grandes del mundo, etc., siempre está el supuesto ingreso de 300 BTC que señaló Doxbin. No es una motivación tan mala, particularmente cuando se planta en el cerebro aún en desarrollo de un niño que ha estado aislado durante la pandemia.

La pandemia

Actualmente, los adolescentes han visto cuánto dinero se gana con el hacking y, de alguna manera, son las nuevas estrellas de rock. Si combinamos esto con el hecho de que los niños han estado encerrados durante 2 años, a menudo con nada más que Internet para entretenerse, no debería sorprendernos que tengamos hackers expertos. El problema es que sus cerebros aún se están desarrollando y la línea entre la diversión y el crimen puede volverse borrosa. Ahí es donde es común que los niños hackeen para ganar notoriedad entre sus compañeros, pero esto se cruza fácilmente con decisiones que pueden afectar el resto de sus vidas.

Final de Lapsus$

Es demasiado pronto para decir si este será el final de Lapsus$. Todavía podría ser una falsa alarma, una mala atribución o incluso incriminar a alguien por los ataques. Si es este joven de 16 años en Inglaterra, es probable que veamos el final de la actividad del grupo, a menos que uno de sus socios en el ciberdelito tome el relevo.

Ya sea que Lapsus$ se reduzca a una banda criminal o a un adolescente de Oxford, lo que importa es que la “organización” claramente tiene la capacidad de infiltrarse en algunas de las organizaciones más grandes del mundo. Trabajan a una velocidad que hace que estos ataques sean imposibles de prevenir usando herramientas tradicionales de defensa perimetral.

No podemos encerrar a todos los adolescentes en animación suspendida hasta que sus cerebros estén completamente formados. Sin embargo,  podemos tomar nota de cómo estos grupos/individuos atacan a las organizaciones objetivo. Es importante mencionar que más del 84% de todos los ataques involucran la exfiltración de datos, exponiendo datos en la Dark Web y/o sitios web públicos.

Al reenfocar los esfuerzos de seguridad en la exfiltración de datos, las organizaciones pueden mitigar los intentos de extorsión las multas regulatorias, los informes y, en última instancia, la pérdida de confianza en el negocio.