En las últimas semanas se está hablando mucho de Lapsus$, un grupo de hackers que ha logrado infiltrarse en algunas grandes empresas tecnológicas. Lo curioso no es ya solo el logro, sino cómo han llegado a acceder a ellas.
Una investigación de Microsoft revela ahora más datos sobre la forma de operar de Lapsus$, un grupo que hace uso de ingeniería social pero que además trata de captar a empleados o a personas con información privilegiada de esas empresas. Si las encuentran, están dispuestas a pagar por credenciales que les abran la puerta a sus servidores.
Si das tu cuenta de ingeniero de Microsoft, te pagarán
Microsoft y Okta han sido las dos últimas afectadas por estos ciberataques —tanto una como la otra han confirmado el ataque—, pero en ambos casos el impacto, aseguran, ha sido limitado. El artículo en el blog de Microsoft Security revela que por ejemplo el acceso limitado a sus sistemas se produjo gracias a una única cuenta comprometida.
En Okta por ejemplo descubrieron que en enero un atacante había tenido acceso al portátil de un ingeniero de soporte. Esos portátiles tienen acceso limitado, afirmaban los responsables de la empresa, aunque Lapsus$ contestó afirmando que tenían acceso a un portal de superusuario con la capacidad de resetear la contraseña y la autenticación multi-factor (MFA) de cerca del 95% de los clientes de la compañía.
En ambos casos el modus operandi parecía similar: los hackers de Lapsus$ no habían hackeado nada como tal, al menos no de inicio: simplemente habían conseguido acceso a equipos o cuentas de esas empresas. Con ese tipo de acceso lograr un ciberataque exitoso es mucho más fácil, por supuesto.
En el análisis de Microsoft se deja claro que la empresa seguía la pista desde hace tiempo a este grupo hacker, aunque en Redmond les asignaron el nombre DEV-0537. Su seguimiento de la actividad de Lapsus$ indica que estos hackers:
"Centran sus esfuerzos de ingeniería social a recolectar conocimientos sobre las operaciones de negocio de sus objetivos. Esa información incluye datos íntimos de los empleados, las estructuras de equipo, los servicios de ayuda, los flujos de respuesta a las crisis o las relaciones con la cadena de suministro".
Este tipo de técnicas son usadas "en un modelo puro de extorsión y destrucción sin que se instale ransomware", explican en Microsoft. El grupo hacker comenzó a tener como objetivos a empresas del Reino Unido y Sudamérica. No solo eso: "DEV-0537 también es conocida por lograr acceso a cuentas personales de exchanges de criptomonedas para agotar sus recursos en criptomonedas".
Hay también peculiaridades en la forma en la que actúa este grupo de hackers, que desde luego usa técnicas tradicionales de ingeniería social —tratando de engañar a empleados de empresas con llamadas telefónicas— pero también con métodos mucho más llamativos:
"No parecen esconder sus huellas. Llegan incluso a anunciar sus ataques en redes sociales o a publicitar su intención de comprar credenciales de empleados de las empresas objetivo".
Así es: en Lapsus$ pagan a empleados o personas que tengan información privilegiada de empresas para que cedan esa información. También parecen usar "varias técnicas que son menos frecuentemente usadas por otros". Por ejemplo, la citada ingeniería social a través de llamadas de teléfono o las conocidas técnicas de SIM-swapping para lograr acceso a esas cuentas.
Para conseguir ese acceso inicial a diversas compañías, en Lapsus$:
- Instalan el programa de robo de contraseñas Redline para conseguir tokens de sesión y contraseñas.
- Compran credenciales y tokens de sesión en foros dedicadas a estas actividades.
- Pagan a empleados de empresas (o a proveedores) por acceso a credenciales y a mecanismos de autenticación multi-factor.
- Buscan en repositorios públicos de código para encontrar credenciales expuestas en esos repositorios.
Una vez tienen esas cerdenciales, acaban entrando en los sistemas con esas credenciales. Si para entrar se usa algún tipo de autenticación en dos pasos, en ocasiones llegan a acuerdos económicos con los empleados afectados para que acepten el inicio de sesión, lo que convierte a esos empleados en cómplices directos del ciberataque.
Las técnicas de SIM swapping también permite tomar el control de teléfonos de esos empleados, lo que invalida la capa de seguridad que proporcionan a menudo los métodos de autenticación multi-factor.
Tras iniciar el ataque, tratan de explotar vulnerabilidades en distintos sistemas, y buscan nueva información en los repositorios de código a los que tienen acceso. Exploran redes usando herramientas como AD Explorer —que cualquiera puede instalar para mostrar una especie de "mapa" de la red local de una empresa si esta usa Active Directory— y tratan de escalar privilegios para lograr acceso total a los recursos de esa empresa.
De hecho los ataques de Lapsus$ van más allá, porque tras el robar datos en Microsoft han observado que llegan a "unirse a las llamadas de comunicación de crisis y tablones de discusión interna (Slack, Temas, etc) para entender el flujo de respuesta a los incidentes y su correspondiente respuesta". Es decir, estos hackers "se quedan" a la escucha para ver cómo reaccionan estas empresas e incluso aprovechan esos datos para iniciar un proceso de extorsión.
¿Qué hacer para evitar estar expuesto? En Microsoft recomiendan reforzar la implementación MFA (por ejemplo con tokens físicos) o mejorar la formación de los empleados para que estén alerta ante ataques de ingeniería social. Lo cierto es que controlar todos los eslabones es realmente complicado, y parece que en Lapsus$ lo saben bien.
Ver 7 comentarios