Los arrestos de siete personas vinculadas al grupo de delitos cibernéticos Lapsus$ por parte de las fuerzas del orden del Reino Unido parecen haber hecho poco para mellar la capacidad de la pandilla para llevar a cabo ataques cibernéticos de alto perfil, ya que una nueva violación de datos en la empresa de software Globant atrae a muchos de los miembros de alto perfil de la empresa. clientes, incluidos Meta, Alphabet y Apple.
Lapsus$, que no es una pandilla de ransomware en el sentido tradicional, ha cobrado prominencia en los últimos dos meses gracias a una serie de ataques de alto perfil contra empresas tecnológicas como Nvidia, Samsung, Ubisoft, Okta y Microsoft, que resultaron en la filtración de datos. , extorsión y conduce a la fuga de datos.
La operación del grupo contra Globant, que se fundó en Argentina en 2003 pero ahora tiene su sede en Luxemburgo, supuestamente filtró hasta 70 GB de datos de clientes. Según se informa, la fuga contiene credenciales utilizadas por los administradores de Globant para acceder a varias plataformas de desarrollo como Confluence, Jira y GitHub.
El volcado también parece incluir carpetas de código fuente relacionadas con varios clientes de Globant, aunque Computer Weekly no ha verificado la precisión de los datos.
Globant confirmó la brecha el miércoles 30 de marzo. Un portavoz dijo: «Recientemente descubrimos que una parte limitada del repositorio de código de nuestra empresa se había visto comprometida. Hemos activado nuestros registros de seguridad y estamos realizando una investigación completa.
“Según nuestro análisis actual, la información recuperada se limitó a un código fuente específico y documentación relacionada con el proyecto para un número muy limitado de clientes. Hasta el momento no hemos encontrado evidencia de que otras áreas de nuestros sistemas de infraestructura o los de nuestros clientes se hayan visto afectados. Estamos tomando medidas estrictas para evitar más incidentes”.
Computer Weekly contactó tanto a Alphabet como a Meta para confirmar el alcance de la infracción, pero ninguna de las organizaciones había respondido al momento de redactar este informe.
Ambicioso, caótico, despiadado
Los analistas de Searchlight Security han seguido de cerca a Lapsus$ durante las últimas semanas. Describen al grupo como una nueva generación de actores de amenazas: ambiciosos y aparentemente un tanto caóticos y despiadados en su organización y actitud, propensos a sembrar hostilidad en la clandestinidad cibercriminal.
Estos factores parecen consistentes con la aparente capacidad del grupo para encogerse de hombros y tal vez incluso recuperarse de las redadas policiales de la semana pasada. Un analista de Searchlight dijo bajo condición de anonimato: «Estamos monitoreando nuevos desarrollos, pero todo lo que puedo decir es que no es sorprendente que el grupo continúe con sus ataques de alto riesgo incluso después de los arrestos en Londres, dada su probable membresía internacional». También tiene un grupo de talentos listo para usar de aspirantes a piratas informáticos que buscan ganarse el respeto en su grupo de Telegram.
“Es difícil predecir el próximo movimiento de las fuerzas del orden, ya que se cree que algunos de los miembros actualmente activos de Lapsus$ viven en países con leyes de ciberseguridad subdesarrolladas, aplicación irregular y que no han firmado tratados internacionales sobre ciberdelincuencia. Puede haber esfuerzos para la cooperación interinstitucional, así como esfuerzos para desmantelar la infraestructura de Lapsus$, haciéndoles más difícil realizar ataques”, dijeron.
Dadas sus actividades recientes y su historial de infracciones de terceros como Sitel, que los llevó a Okta antes, el grupo es muy consciente de cómo el mundo corporativo parece estar luchando con la seguridad de la cadena de suministro, lo que indica que los equipos de seguridad y los administradores de riesgos están dando un paso adelante. mejorar su juego cuando sea necesario para abordar estos problemas.
Joseph Carson, científico jefe de seguridad de Delinea, una startup cibernética formada por sus predecesores Thycotic y Centrify, dijo que la violación de Globant demostró que la seguridad de una empresa es tan buena como la empresa que la administra.
«Para las grandes organizaciones, esa es su cadena de suministro», dijo. “Lapsus$ parece haber rastreado a las principales organizaciones de la cadena de suministro y ha demostrado que ninguna organización ofrece una protección del 100 %, lo que significa que se trata de reducción de riesgos y detección temprana. La técnica que Lapsus$ parece estar utilizando rastrea a los usuarios privilegiados que deben ser protegidos como una prioridad máxima, y recomiendo encarecidamente a las organizaciones que apliquen el principio de privilegio mínimo”.
Callum Roxan, jefe de Threat Intel en WithSecure, el negocio empresarial recién formado de F-Secure, agregó: “Los ataques de alto perfil de Lapsus$ demuestran los desafíos de proteger los datos y los sistemas en las arquitecturas de TI modernas. Administrar la autenticación y la autorización es un desafío complejo cuando abarca múltiples plataformas, tecnologías y relaciones con los proveedores.
“La industria de la ciberseguridad definitivamente no está madura para detectar estos ataques. Espero que este tipo de ataques de Lapsus$ continúen y que más jugadores intenten emularlos después de ver este éxito”.
