Grupo LAPSUS$

¿Quién es el Grupo LAPSUS$?

El grupo LAPSUS$ (al que Microsoft se refiere como DEV-0357) es un colectivo informal de actores de amenazas no asociados a ningún grupo político o filosofía en particular. La máxima "no hay honor entre ladrones" se aplica a los miembros de LAPSUS$: han demostrado ser poco profesionales, incluso para los estándares de las bandas de ransomware, al no cumplir sus promesas de destruir los datos robados. Además, apenas se esfuerzan por cubrir sus huellas u ocultar sus técnicas.  

Sin embargo, incluso un grupo pequeño, caótico y poco sofisticado de actores de amenazas puede comprometer a grandes corporaciones tecnológicas y extorsionar grandes sumas de dinero. Se cree que LAPSUS$ es de origen sudamericano, con muchos miembros adicionales de Portugal y América Latina, aunque sus filas se extienden por todo el mundo. 

LAPSUS$ mantiene un perfil público y se comunica regularmente a través de Telegram y correos electrónicos. Tal vez debido a su carácter abierto o a la falta de una estrategia técnica eficaz para ocultarse, el Servicio de Policía Metropolitana de Londres llevó a cabo en marzo de 2022 una redada estratégica contra siete individuos de edades comprendidas entre los 16 y los 21 años, presuntos miembros de LAPSUS$. Sólo dos de los detenidos fueron finalmente acusados de tres cargos de acceso no autorizado a un ordenador con la intención de perjudicar la fiabilidad de los datos, un cargo de fraude por falsa representación y un cargo de acceso no autorizado a un ordenador con la intención de obstaculizar el acceso a los datos. Irónicamente, un grupo detrás de un sitio web de "doxxing" -revelar públicamente información personal o sensible sobre una persona u organización- proporcionó la información que en última instancia condujo a estas detenciones, como represalia por la divulgación de su información pública. Sin embargo, las detenciones no afectaron significativamente a las operaciones de LAPSUS$; el grupo sigue explotando y divulgando públicamente los datos de sus víctimas.

Últimas noticias sobre LAPSUS$

¿Qué es el ransomware LAPSUS$?

El ransomware LAPSUS$ difiere de otras cepas de ataques basados en rescates de gran repercusión, como Conti, REvil y LockBit. Mientras que la mayoría de los ataques de ransomware emplean malware sofisticado para cifrar archivos, los ataques de LAPSUS$ implican simples amenazas de publicar datos robados para coaccionar los pagos, renunciando por completo al malware tradicional.

LAPSUS$ obtiene acceso a los sistemas objetivo a través de credenciales robadas para escritorio remoto (RDP), VPN o servicios en la nube como Microsoft Office 365 y, a continuación, procede a robar datos confidenciales. Aunque es posible que los miembros de LAPSUS$ no desplieguen malware para lograr sus objetivos, importan herramientas de software de hacking a los sistemas a los que acceden y amplían manualmente su acceso inicial a través de la red para identificar datos de alto valor y exfiltrarlos.

Cómo funcionan los ataques LAPSUS$

LAPSUS$ no utiliza un modelo de afiliación para operar un ransomware como servicio (RaaS) para obtener el acceso inicial; en su lugar, los miembros gestionan las brechas de principio a fin. Sus ataques suelen emplear técnicas de hacking de baja tecnología como la ingeniería social-phishing, spear-phishing y, especialmente, vishing- y el descubrimiento de credenciales expuestas públicamente para obtener acceso inicial a cuentas válidas de escritorio remoto (RDP), VPN o aplicaciones en la nube. LAPSUS$ también es conocido por utilizar otras técnicas como el intercambio de SIM, trabajar con amenazas internas y comprar credenciales en la Dark Web.

Las tácticas de segunda fase de LAPSUS$ consisten en la exfiltración de datos y la extorsión pública, exigiendo una compensación económica para evitar la divulgación de los datos robados. Esto difiere de las estrategias que utilizan otras bandas de ransomware de alto perfil, que a menudo despliegan malware avanzado para realizar una doble extorsión, exigiendo un pago para descifrar archivos y evitar la publicación de datos confidenciales. 

Para el movimiento lateral, LAPSUS$ aprovecha vulnerabilidades de seguridad conocidas en aplicaciones como JIRA, Confluence y GitLab en la red de destino, luego intenta extraer credenciales incrustadas en repositorios de código fuente y utilizar herramientas de explotación de Windows como AD explorer, DCsync y Mimikatz. LAPSUS$ también se basa en el malware infostealer Redline como táctica de segunda fase para descubrir credenciales de otros sistemas de la red y ampliar su punto de apoyo inicial lateralmente para encontrar datos confidenciales.

Tácticas, técnicas y procedimientos comunes de LAPSUS$ (TT&P)

  • Ingeniería social, robo de credenciales y búsqueda de credenciales expuestas públicamente a través de Internet
  • Obtener acceso no autorizado a cuentas válidas mediante credenciales robadas.
  • Ataques de SIM swapping (también conocidos como SIM splitting, Smishing, SIMjacking y SIM swapping) para acceder al correo electrónico de la víctima con el fin de restablecer las contraseñas de las cuentas y eludir la autenticación multifactor.
  • Abusar de las cuentas de correo electrónico personales de las víctimas para obtener información y credenciales personales.
  • El robo de credenciales compromete a los proveedores de servicios gestionados (MSP) y a las aplicaciones en la nube
  • Pagar a empleados, proveedores o socios comerciales corruptos de organizaciones objetivo por credenciales y tokens MFA.
  • Exfiltración de datos a servidores controlados por LAPSUS$.
  • Extorsión de las víctimas para impedir la divulgación de los datos robados

Cómo protegerse contra el LAPSUS$

Para combatir la capacidad de LAPSUS$ de aprovechar las credenciales robadas, implante una estricta autenticación multifactor y una solución avanzada de seguridad Zero Trust para impedir el uso no autorizado de los recursos de la empresa.

Debido a la diversidad y naturaleza ad hoc de las técnicas de LAPSUS$, ningún conjunto de estrategias defensivas o mitigaciones podría combatir por completo el enfoque ofensivo de LAPSUS$. La prevención eficaz de un ataque exitoso depende de un enfoque integral de la ciberseguridad empresarial. Los principios básicos de la seguridad informática, como la defensa en profundidad, el acceso con mínimos privilegios, la prevención de la pérdida de datos, la supervisión 24 horas al día, 7 días a la semana, 365 días al año, la gestión de vulnerabilidades, los programas de red-teaming y la mejora continua de las defensas de la red son partes esenciales de un programa de ciberseguridad empresarial.

CylanceGATEWAY evita los ataques de ingeniería social

Zero Trust Network Access (ZTNA) puede prevenir ataques de ingeniería social. CylanceGATEWAY™ protege su red antes de que un actor de amenazas pueda acceder a ella y empezar a moverse lateralmente por ella.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos