Un mismo grupo de ciberdelincuentes ha puesto en apuros a Nvidia y Samsung en pocas semanas. Se trata de Lapsus$, un misterioso grupo que publica en Telegram sus ataques. Poco se conoce de ellos, ya que sus primeros movimientos fueron a mitad de 2020 pero no ha sido hasta ahora que han saltado a la primera plana apuntando contra dos gigantes del mundo tecnológico y poniendo en apuros sus sistemas.
De Nvidia lograron hacerse con más de 70.000 credenciales de empleados de la compañía, así como el código de desarrollos tan recientes como la futura RTX 3090 Ti, amenazando con liberar el código fuente de los controladores si no accedían a sus demandas.
De Samsung filtraron un total de 190 GB de código de distintos móviles del fabricante, desde el bootloader hasta algoritmos de cifrado. Samsung confirmó el incidente, corroborando que Lapsus$ es una amenaza real y un grupo con suficientes recursos como para acceder a datos comprometidos de algunas BigTech.
Otro afectado ha sido Mercado Libre. La propia empresa ha confirmado el ataque, afectando a más de 300.000 usuarios y a Mercado Pago. Según su análisis inicial no han encontrado evidencias de que sus infraestructuras hayan sido comprometidas o hayan obtenido contraseñas de usuarios o información financiera. Una respuesta similar a la ofrecida por Samsung, en la que aseguran que los atacantes no han obtenido datos personales, sino información interna de su código fuente.
Según describe TitanHq, el origen de la introducción del ransomware está en un ataque por phishing. Esto permite a los ciberdelincuentes acceder a sistemas internos de alto nivel y obtener acceso a paneles de control o cuentas de redes sociales, desde donde Lapsus$ ha llegado a publicar algún tuit, como ocurrió con SIC, la televisión más grande de Portugal.
Los movimientos de Lapsus$ apuntan a Brasil
Lapsus$ todavía no ha reconocido el ciberataque a Mercado Libre, sin embargo sí coincide en el tiempo con la última encuesta publicada en su cuenta de Telegram, donde apuntaban precisamente a esta empresa.
Junto a Mercado Libre, Lapsus apunta contra Vodafone e Impresa. Del operador no se tiene constancia de un ataque, pero Impresa, compañía matriz de medios portugueses como Expresso o SIC Noticias sí ha notado una intrusión en sus sistemas, teniendo que bloquear temporalmente sus páginas web.
Lapsus$ no parece seguir la tónica de otros grupos de ransomware. En lugar de pedir un rescate para evitar la publicación de los datos, los intereses de Lapsus$ van por solicitar acciones como dar facilidades para poder minar criptomonedas, en el caso de Nvidia.
Jon Andrews, VP de la plataforma de riesgos Gurucul, explica a Tech Monitor que las motivaciones de Lapsus$ parecen ir más allá de la pura extorsión: "Lapsus$ ha dicho en el pasado que sus acciones no tienen motivaciones políticas, pero el hecho de que no solo encripten los datos de sus víctimas y exijan un rescate indica que no solo buscan una ganancia rápida. Más bien, parece que tienen algún tipo de agenda, sea la que sea".
El origen de Lapsus$ no está confirmado y no se tiene constancia de ningún nombre concreto que pertenezca a la organización. Sin embargo, hay varios indicios que apuntan hacia Brasil como lugar de origen de este grupo de ciberdelincuentes.
The websites of two of the main media organizations in Portugal @expresso and @SICNoticias are down, after an apparent hacking, according to their parent company, Impresa. pic.twitter.com/la2Pi9JRgG
— Mia Alberti (@mialberti) January 2, 2022
Uno de ellos es el ataque a medios portugueses. Esto coincide con su primera aparición notoria, que fue en 2020 cuando apuntaron contra el ministro de Sanidad de Brasil, según explica Xue Yin Peh, analista de Digital Shadows. En aquel ataque el grupo proclamó filtrar 50 TB de datos. Posteriormente, otras organizaciones brasileñas y empresas de habla portuguesa como Impresa, Claro, Embratel, NET y Localiza fueron sus objetivos. Aquello fue el año pasado, pero en 2022 han dado un salto enorme yendo contra gigantes tecnológicos como Nvidia o Samsung.
Imagen | Joan Gamell
En Xataka | Así es OnionIRC, la escuela de hackers de Anonymous
Ver 9 comentarios