En algunos casos, el objetivo no es otro sino obtener dinero: mil dólares a cambio de la información obtenida sin autorización. Pero en otros, como le sucedió a NVIDIA, el propósito es obligar a las empresas a llevar a cabo un cambio en el funcionamiento de sus productos, con la supuesta garantía de no revelar o vender los datos filtrados al mejor postor.

¿Quiénes están detrás de LAPSUS$?

Son pocas pistas las que se tiene sobre este grupo, y aunque la mayoría de veces los colectivos que llegan a considerarse verdaderas amenazas cibernéticas suelen ser de Rusia, Corea del Norte y China, medios como Business Insider apuntaron en principio, a que la base de operaciones de LAPSUS$ podría estar en Brasil o en la Península Ibérica.

Esta teoría que vincula al grupo con regiones cuya lengua natural es el portugués, se da porque antes de que se registraran los hackeos a las compañías tecnológicas antes mencionadas, los ataques de LAPSUS$ estuvieron dirigidos a entidades gubernamentales de Brasil y grandes medios de comunicación de Portugal como Expresso. Sin embargo, aunque hay indicios de que uno de los principales miembros podría ser un joven proveniente del gigante suramericano, Bloomberg sugiere que el líder de esta organización podría ser un adolescente de 16 años de Oxford, Inglaterra.

Te puede interesar: ¡LAPSUS$ lo hace de nuevo! 37 GB de datos de Microsoft fueron robados

Otra característica de LAPSUS$ es que parece que sus motivaciones van más allá de lo económico. Y aunque en el pasado, el colectivo ha negado que sus acciones tengan intereses políticos, portales como Xataka, sugieren que sí tiene agenda propia.

De hecho, un informe de Microsoft respecto a las afectaciones por los ciberataques recibidos, considera que esta banda de ciberdelincuentes es como “poco común”, pues subraya hechos como el que no se tomen el tiempo de borrar sus propias huellas digitales, el tipo de interacción que tienen con su público en Telegram, y las tácticas de ingeniería social que aplican como las suplantaciones de tarjeta SIM y el intento de soborno a algunos funcionarios, empleados e incluso de proveedores para poder contar con las claves oficiales que sirvan de acceso a lo sistemas.

El ataque más reciente de LAPSUS$ fue justamente dirigido a Microsoft, cuando el pasado 22 de marzo las alarmas de la compañía se prendieron luego de que los piratas virtuales accedieran a sus servidores y robaran 37 GB de datos confidenciales de la compañía, entre ellos, el código fuente de Bing y Cortana.

Imágenes: Unsplash

El medio por el que filtraron la información obtenida, sigue siendo su canal de Telegram, donde publicaron un pantallazo de su hazaña y los datos robados. Lo más curioso de la situación es que, tiempo después los mismos autores de la imagen la eliminaron de Telegram; sin embargo, prometieron que próximamente vendrán con más novedades. Aunque la imagen fue eliminada de la app, varios usuarios subieron copias de ella a redes sociales, la cual se viralizó en minutos.

The LAPSUS$ ransomware group just posted an image of what looks to be Microsoft’s internal DevOps platform… yikes… pic.twitter.com/PFdlezyDW9

— Bill Demirkapi (@BillDemirkapi) March 20, 2022

En el pantallazo se observan varios directorios dentro de Azure DevOps. Este, es un producto de Microsoft con el que los desarrolladores pueden colaborar con distintos proyectos de la compañía.  Al obtener acceso a un servidor de Azure, el grupo de piratas informáticos logró conseguir el código fuente de Bing, el asistente de voz de Cortana y algunos otros proyectos desarrollados por diferentes equipos de Microsoft.

Te puede interesar: ¡Uno más a la lista! LAPSUS$ hackea a Mercado Libre

De hecho, en la imagen compartida por LAPSUS$, se ven varias carpetas, entre ellas una bajo el nombre “Bing- source”, la cual tiene como descripción “El proyecto central para almacenar todo el código fuente de Bing”. En otra de las carpetas que tiene como nombre “Cortana” leemos: “El proyecto principal de Cortana. Con el tiempo, todo el código y los elementos de trabajo relacionados con Cortana deben administraste a través de este proyecto”.

Sin embargo, queda una gran incógnita ¿Por qué LAPSUS$ eliminó el pantallazo? Dentro de los rumores, se estipula que el grupo de piratas informáticos reveló más información de la que tenían pensada. Por ejemplo, en la parte superior derecha se observa el perfil con el que ingresaron “IS”.

Debido a esto, existen dos teorías, que el grupo robó credenciales e ingresaron con una de ellas o que un trabajador de la compañía fue cómplice del robo. Esta última teoría ha tomado fuerza porque, según Vice, el grupo de hackers había anunciado a principios de este mes que estaban en reclutamiento de personal que trabajen en grandes empresas para colaborar con ellos.

Por su parte, Microsoft le confirmó a Motherboard en un correo electrónico que: “estamos al tanto de los reclamos y estamos investigando”.

Imagen: Pixabay

En el caso de las dos primeras empresas, el grupo de hackers ya ha revelado información importante; de Nvidia se divulgaron correos electrónicos y contraseñas de empleados de la empresa; mientras que de Samsung se revelaron algunos códigos fuente de los últimos Galaxy del fabricante. Con dichos antecedentes, se teme que Lapsus$ divulgue los datos de los 300 mil usuarios de la multinacional de comercio electrónico.

“Recientemente hemos detectado que parte del código fuente de Mercado Libre ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”, se lee en el comunicado emitido por la compañía sobre las 18.00 del lunes (hora de Argentina). Posteriormente, la información se hizo pública por varios periodistas en Twitter.

En dicho comunicado, la empresa mencionó el acceso a datos de 300 mil usuarios, pero agregan que es un número mínimo comparado con la cantidad de clientes que alcanzan los 140 millones. Argumentan también que, “Hasta el momento […] no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago”.

Te puede interesar:Hackers que atacaron Nvidia ahora hackean a Samsung

Por su parte, LAPSUS$ argumenta tener también el código fuente de Mercado Libre, el cual planea hacer público. Esto se conoció a través de una encuesta realizada por los mismos hackers en su canal de Telegram. En la consulta, sus seguidores podían elegir cual sería la próxima filtración; entre las opciones estaba Mercado Libre y Mercado Pago.

Algo que generó curiosidad en la opinión pública, es que desde el domingo en la noche en las redes sociales se hablaba de un posible hackeo a la multinacional, la cual se pronunció solo hasta el lunes en la noche. De hecho, hasta el momento, la empresa no se ha pronunciado en sus redes sociales al respecto. Sin embargo, en la página de la Comisión de Bolsa y Valores de Estados Unidos ya aparece el registro del suceso.

En las redes sociales también se habla de un posible ataque a la infraestructura web de Vodafone e Impresa, una compañía portuguesa de medios de comunicación. Estas empresas también figuran en la encuesta de LAPSUS$ la cual se cerrará el próximo 13 de marzo, momento en el que se definirán qué datos saldrán a la luz.

Imagen: Mercado Libre

Aunque Samsung no reveló nombres de los responsables del ataque, Lapsus$, el grupo que atacó a Nvidia se adjudicó también este nuevo hackeo. Esto se pudo confirmar el pasado viernes, cuando parte de la información robada, fue puesta a disposición del público a través de un canal de Telegram administrado por estos piratas informáticos.

Entre la información revelada se encuentra todo el código fuente relacionado con el funcionamiendo de la serie Galaxy de la compañía. Según informa Bleeping Computer, se trata de un torrent que alcanza las 190 GB en las que se encuentran tres archivos comprimidos con dicho contenido. Entre la información, los hackers divulgaron una lista con toda la información que encontrarán en los archivos, con lo que se podría suponer que el robo fue bastante amplio.

“Según nuestro análisis inicial, la filtración involucra algún código fuente relacionado con el funcionamiento de los dispositivos Galaxy, pero no incluye la información personal de nuestros consumidores o empleados.” Se lee en el comunicado emitido por Samsung. “Actualmente, no anticipamos ningún impacto en nuestro negocio o clientes”, agrega la empresa.

Te puede interesar: Se filtran miles de contraseñas de empleados de Nvidia

Entre los archivos difundidos se encuentra el código fuente de bootloader (gestor de arranque) de los móviles más recientes de la compañía; el código fuente confidencial de Qualcomm; los algoritmos para las operaciones de desbloqueo biométrico; el código fuente de la tecnología de autorización y autenticación de las cuentas de Samsung, entre otros.

Aún se desconoce si Lapsus$ ha solicitado algún pedido a Samsung como lo hizo con Nvidia. Sin embargo, la información revelada ya ha tomado bastante popularidad; además, los propios hackers prometieron añadir más servidores para que los usuarios puedan descargar la información de manera veloz.

Por su parte, desde Samsung aseguran que se están tomando todas las medidas de seguridad para evitar futuros robos cibernéticos. Aunque la compañía asegura que los datos de sus usuarios están a salvo no se mencionó si con los códigos fuente filtrados, los celulares ya vendidos tengan algún tipo de afectación, tendremos que esperar próximas noticias al respecto.

Imagen: Unsplash

El día de hoy TechCrunch informó que el grupo de hackers filtró ya algunos datos de los empleados de Nvidia. El sitio web de monitoreo de violación de datos Have I Been Pwned (HIBP), informaron que el grupo de delincuentes cibernéticos robaron las credenciales de más de 71,000 empleados de la compañía.

Entre los datos revelados se encuentran direcciones de correo electrónico y hashes de contraseñas de Windows, una operación criptográfica que genera identificadores únicos e irrepetibles a partir de una pequeña información. Frente a esto HIBP informó que muchos de estos hashes “fueron posteriormente descifrados y distribuidos dentro de la comunidad de hackers”.

Te puede interesar: Cinco fallas de seguridad que le abren paso a los ciberataques

Pero la información robada no era novedad para Nvidia. Cuando ocurrió el ataque, la compañía conoció que las credenciales de dichos empleados fueron tomadas. Según informa TechCrunch, la compañía no confirmó si notificó o no a los afectados, o si se les sugirió restablecer las contraseñas de estas cuentas. Además, a pesar de las consecuencias y la cercanía de la fecha establecida en la amenaza del grupo, la página de respuesta a incidencias de la empresa no se ha actualizado desde el pasado martes.

Ahora, amenazan con divulgar información más importante como los secretos comerciales de la empresa, a menos que Nvidia cumpla con las peticiones que se solicitan. Entre las peticiones solicitan que elimine su función Lite Hash Rate (LHR). Esta función ha sido bastante criticada ya que limita las capacidades de extracción de Ehtereum en las tarjetas gráficas de serie RTX30.

Imagen: PIxabay