A principios de 2022, el grupo LAPSUS$ apareció en escena con ataques llamativos y perjudiciales. Si bien ocasionalmente ataca junto con grupos que utilizan el ransomware, LAPSUS$ es un grupo extorsivo, que busca mostrar lo vulnerables que pueden llegar a ser grandes empresas tecnológicas y ganar notoriedad.
Este grupo provocó un revuelo considerable a comienzos de 2022, pero perdió su fuerza entre las olas más fuertes generadas por grupos más establecidos, tales como Conti. La breve permanencia de LAPSUS$ como líder de los ciclos de noticias sobre ciberseguridad se vio estropeada por idiosincrasias y errores aparentes.
LAPSUS$ es un grupo extorsivo, no un grupo que utiliza el ransomware. Mientras que algunos casos de extorsión implican el robo de datos y su pedido de rescate a las organizaciones, el ransomware se refiere específicamente a los incidentes donde se utiliza malware de cifrado de datos (ransomware) y donde se pide rescate a las organizaciones objetivo por el acceso a esos sistemas.
¿Qué es el grupo LAPSUS$?
Si bien hay otros grupos que realizan ataques extorsivos únicamente, el grupo LAPSUS$ hizo una gran entrada en escena a finales de 2021 y trajo este tipo de grupo de delincuentes al frente.
El grupo LAPSUS$ opera únicamente a través de un grupo privado de Telegram y no gestiona un sitio de filtraciones de datos en la dark web como otros grupos de delincuentes, lo cual limita los datos disponibles para su análisis. A pesar de esto, muchos analistas de seguridad, investigadores y periodistas han examinado la información disponible y desarrollaron conocimientos acerca de las características y tácticas del grupo.
Los temas comunes entre estos análisis incluyen los siguientes:
- Comportamientos y tácticas con menor madurez.
- Prioridad por la influencia y notoriedad.
- Enfoque primario en metas monetarias.
¿Cómo deben responder las organizaciones?
Las principales tácticas del grupo LAPSUS$ se centraron en la ingeniería social y en el reclutamiento de agentes internos. En su informe de las actividades del grupo, NCC Group proporcionó indicadores de la puesta en riesgo de los ataques de LAPSUS$. Las organizaciones deben adoptar las siguientes pautas para defenderse contra los ataques de LAPSUS$ y otros grupos extorsivos.
- Reevaluar sus políticas del servicio de asistencia y su consciencia acerca de la ingeniería social.
- Fortalecer la MFA: evitar la MFA basada en SMS, garantizar el uso de contraseñas fuertes, aprovechar la autenticación sin contraseñas.
- Utilizar opciones sólidas de autenticación para las aplicaciones accesibles desde Internet, tales como OAuth y el Lenguaje de marcado de aserción de seguridad.
- Descubrir las vulnerabilidades explotables conocidas de parches que podrían permitir a los atacantes moverse lateralmente en sus sistemas, elevar privilegios y filtrar datos confidenciales.
- Reforzar la postura de seguridad en la nube: mejorar las detecciones de riesgos, fortalecer las configuraciones de acceso.
Al igual que los grupos que utilizan el ransomware, estos grupos extorsivos dependen de vulnerabilidades tradicionales que las organizaciones dejaron sin parches.
Del mismo modo que con el ransomware, los ataques extorsivos no desaparecerán hasta que se vuelvan demasiado complicados o costosos para llevarse a cabo. Las organizaciones deben evaluar con qué defensas cuentan contra las tácticas que se utilizan, cómo pueden fortalecerse y si sus manuales de estrategias de respuesta abordan eficazmente estos incidentes. A pesar de que puede ser tentador minimizar a los grupos de delincuentes como LAPSUS$ debido a sus tácticas osadas, ilógicas y poco sofisticadas, sus daños en compañías tecnológicas internacionales importantes nos recuerdan que incluso las tácticas poco sofisticadas pueden tener un impacto grave.
Por Claire Tills, Ingeniera de investigación senior de Tenable
