El gobierno de EE.UU. finalmente publica un informe sobre la pandilla Lapsus$

Resulta que la pandilla Lapsus$, famosa por sus miembros adolescentes, utilizó técnicas sencillas, dice un informe tan esperado sobre el colectivo por parte del gobierno de los Estados Unidos. Se incluyen recomendaciones sobre acciones defensivas contra ataques futuros.




El informe es escrito por la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE.UU. ( CSRB ).

Comenzó a trabajar en el informe en diciembre pasado, después de que varios delitos cibernéticos de alto perfil de Lapsus$ en 2022 condujeron a acción policial en el Reino Unido y Brasil. La pandilla ya no está activa.

En el transcurso de unos dos años, los miembros de Lapsus$ se infiltraron en varios objetivos de alto perfil, incluido Microsoft, Nvidia, y Okta, a menudo utilizando alguna combinación de ingeniería social, phishing, robo de credenciales, intercambio de SIM y técnicas de evasión de MFA.


Tácticas bien conocida


A veces, parecía que Lapsus$ estaba trabajando de manera muy efectiva y estaba utilizando técnicas más complejas que otras pandillas.

“Su mentalidad estaba en plena exhibición para que el mundo la viera y Lapsus$ dejó en claro cuán fácil era para sus miembros ( juveniles, en algunos casos ) infiltrarse en organizaciones bien defendidas. Lapsus$ parecía funcionar en varios momentos para la notoriedad, la ganancia financiera o la diversión, y mezcló una variedad de técnicas”, según el informe.

Sin embargo, un análisis de las actividades y capacidades del grupo Lapsus$ descubrió que sus miembros realmente usaban tácticas y técnicas bien conocidas en sus operaciones.

“De hecho, Lapsus $ no utilizó el tipo de nuevas técnicas de día cero que la industria está acostumbrada a ver con frecuencia en las noticias”.

Los atacantes de Lapsus$ supuestamente aprovecharon las debilidades conocidas en las redes empresariales y los procedimientos de los proveedores de tecnología para obtener acceso a objetivos y robar datos confidenciales. No estaban explotando ninguna debilidad técnica.

En un pequeño número de incidentes, el grupo explotó las vulnerabilidades conocidas, pero la mayoría de las veces, los miembros de Lapsus$ favorecieron a simple, ataques fáciles de ejecutar para obtener acceso a sus objetivos, "confiaron en la investigación y el reconocimiento anticuados", dice el informe de la CSRB.

“En general, los actores de la amenaza no desplegaron herramientas personalizadas, prefiriendo herramientas bien conocidas construidas por otros.  Lapsus $ no entró en esa categoría de actor de amenazas que ocupa la mayoría de los titulares: el actor de amenazas de estado-nación con tácticas ofensivas bien dotadas que acecha detrás de escena durante años o los grupos transnacionales de ransomware que le cuestan a la economía global miles de millones de dólares,” agrega.

De hecho, Lapsus$ no utilizó el tipo de nuevas técnicas de día cero que la industria está acostumbrada a ver con frecuencia en las noticias. 

El analista de ciberseguridad Digital Shadows fue un paso más allá el año pasado, cuando dijo en un informe que Lapsus$ literalmente fingió su estado como grupo de ransomware y exageró enormemente la escala de sus ataques.


Un mundo sin contraseña


Los miembros de la CSRB dijeron que las empresas y las agencias gubernamentales deben renovar su enfoque en los conceptos básicos de seguridad y al mismo tiempo avanzar hacia arquitecturas más modernas y métodos defensivos. Por ejemplo, se recomienda avanzar hacia un mundo sin contraseña, porque negaría los efectos del robo de credenciales.

Aún así, la CSRB descubrió que a las organizaciones con programas de seguridad maduros y procedimientos de respuesta a incidentes bien diseñados les fue bastante bien contra Lapsus$ y otros grupos similares.

“Las organizaciones que utilizaron métodos de aplicación o MFA basados en tokens emplearon sistemas robustos de detección de intrusos en red, incluida la detección rápida de actividad sospechosa de la cuenta, fueron especialmente resistentes, ” según el informe.

La CSRB también recomendó que las organizaciones informen los incidentes cibernéticos a la aplicación de la ley lo antes posible y continúen compartiendo información relevante con CISA y otras agencias durante una investigación. Esto ayuda no solo a la organización específica de víctimas, sino también a otras víctimas potenciales.

No hay comentarios:

Publicar un comentario