Una silueta de un niño frente a una pared de unos y ceros.

La empresa de desarrollo de software y TI Globant dijo en un comunicado el miércoles que había habido una brecha en la red. La declaración parecía confirmar las afirmaciones hechas por Lapsus$, un grupo que ha comprometido con éxito a Microsoft, Nvidia, Okta y otras víctimas en las últimas semanas.

Lapsus$ es relativamente nuevo en la escena de la extorsión de datos. Si bien las tácticas y los procedimientos del grupo carecen de sofisticación, sus miembros, que en gran medida son vistos como jóvenes y técnicamente inmaduros, lo compensan con persistencia. Se dice que los pandilleros se encuentran entre las siete personas arrestadas por la policía de Londres la semana pasada.

No ha muerto aún

Una filtración el martes en el canal Lapsus$ Telegram incluyó datos que, según el grupo, provenían de un reciente ataque a Globant, lo que planteó dudas sobre la relación de los sospechosos, de entre 16 y 21 años, con Lapsus, que tenía exactamente $. Recientemente, el FBI buscó asistencia pública para perseguir al grupo.

fbi lapsus

La policía de Londres no parece haber dicho específicamente que los sospechosos eran miembros de Lapsus$, «pero asumiendo [the suspects] todavía no sabemos cuántas otras personas pueden estar conectadas a la operación o dónde pueden estar ubicados”, escribió Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, en un mensaje privado. «Por ejemplo, al menos uno de sus miembros parece ser hablante nativo, o más exactamente, escritor, del portugués brasileño».

La publicación de Telegram incluía una captura de pantalla de datos supuestamente de Globant, con sede en Luxemburgo, que opera en 18 países y tiene más de 23.500 empleados. Las carpetas de uno de los cachés de datos presuntamente robados tenían nombres como «Apple Health App», «Facebook», «C-SPAN» y «DHL». Otra publicación en el mismo canal pretendía mostrar las credenciales, muchas con contraseñas débiles, para algunos de los servidores donde Globant almacenaba los datos.

Un enlace de torrent en la publicación indicaba que el caché filtrado del código fuente era de alrededor de 70 GB.

globant rar
lapsus claims

Repositorio de código de Script Kiddies violado

«Recientemente descubrimos que una parte limitada del depósito de códigos de nuestra empresa estaba sujeta a acceso no autorizado», escribieron los funcionarios de la empresa en un comunicado. «Hemos activado nuestros registros de seguridad y estamos realizando una investigación completa».

Hasta ahora, según el comunicado, los investigadores creen que los datos robados estaban «limitados a un código fuente específico y documentación relacionada con el proyecto para un número muy limitado de clientes». La investigación actual aún tiene que encontrar evidencia de que se violaron otros datos o sistemas.

Los funcionarios de la compañía se negaron a responder preguntas sobre cuándo ocurrió la violación, si los datos filtrados eran genuinos y si alguien se había puesto en contacto con Globant para exigir un rescate.

La semana pasada, KrebsOnSecurity y Bloomberg informaron que un miembro central de Lapsus$ es un joven de 16 años que vive en Oxford, Inglaterra. Un día después, la policía de Londres dijo que al menos uno de los piratas informáticos arrestados tenía 16 años.

Lapsus$ utiliza una variedad de métodos simples para dañar con éxito a sus víctimas. Por ejemplo, para eludir las protecciones de autenticación multifactor de algunos objetivos, los miembros que habían obtenido contraseñas intentarían iniciar sesión regularmente en las cuentas afectadas, una técnica conocida como bombardeo rápido de MFA. En muchos casos, las indicaciones se pueden entregar a través de una llamada telefónica estándar.

«No hay límite para la cantidad de llamadas que se pueden hacer», escribió recientemente un miembro de Lapsus$. “Llama al empleado 100 veces a la 1 a. m. mientras intenta dormir y lo más probable es que lo acepte. Una vez que el agente responde la primera llamada, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.

Otras técnicas incluyeron intercambios de SIM e ingeniería social. Lapsus$ tampoco está por encima del soborno; Una vez que se apunta a una organización, el grupo persigue a sus clientes y empleados de sus contratistas.

La actividad continua de Lapsus$ es una prueba más de la resiliencia del grupo. Si bien las organizaciones a menudo se enfocan en defenderse contra las vulnerabilidades de seguridad de día cero y otros tipos de amenazas avanzadas, Lapsus$ debería servir como un recordatorio de que los métodos de piratería menos esotéricos suelen ser más simples e igual de efectivos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí