Durante los últimos tres meses, una misteriosa banda de hackers ha provocado en Silicon Valley una migraña de proporciones épicas. LAPSUS$, una banda de ciber delincuentes con técnicas poco ortodoxas y una gran facilidad para el dramatismo, ha entrado en una racha de éxito, atacando a las empresas tecnológicas y derribándolas como si fueran bolos.

Los objetivos de la banda son grandes. Microsoft, Samsung, Nvidia, Ubisoft y, más recientemente, la empresa de verificación de identidades Okta, han sufrido humillantes ciberataques. En casi todos estos casos, LAPSUS$ se introdujo en las redes de las empresas, donde robó fragmentos de código fuente, el ADN digital del software propietario. Después, la banda casi siempre filtró el código por toda la Internet, avergonzando a la víctima y derramando secretos de la empresa en el éter.

La perspicacia del grupo para hackear lo ha llevado a los santuarios más íntimos de empresas compuesto en última instancia no por ciber delincuentes curtidos, sino por aficionados indisciplinados. De hecho, un grupo de ellos puede ser literalmente niños. El jueves, las autoridades británicas anunciaron la detención de siete personas supuestamente relacionadas con la banda, cuyas edades oscilan entre los 16 y los 21 años. El cabecilla de la banda, por su parte, tiene fama de ser un chico de 16 años de Oxford (Inglaterra). Ese hacker, que se hace llamar "White", parece haber filtrado recientemente su identidad en Internet por una facción rival de la ciber delincuencia.

En resumen: después de una serie de victorias y mucha notoriedad, las cosas no parecen ir especialmente bien para LAPSUS$, y el grupo podría estar en apuros.

"A diferencia de la mayoría de los grupos de actividad que permanecen bajo el radar... ‘LAPSUS$’ no parece cubrir sus huellas", dijeron los investigadores del Centro de Inteligencia de Amenazas de Microsoft. "Llegan a anunciar sus ataques en las redes sociales o anunciar su intención de comprar credenciales a los empleados de las organizaciones objetivo... -la banda- también utiliza varias tácticas que son menos frecuentes en otros actores de amenazas rastreados por Microsoft". Sin embargo, son esas mismas tácticas las que hacen que la banda sea tan fascinante.

La banda de ransomware que no era

Antes de pasar a hackear algunas de las mayores empresas de Silicon Valley, LAPSUS$ pasó enero de 2022 haciendo un montón de acrobacias juveniles de ciber delincuencia, en las que parecía que se trataba menos de ganar dinero que de divertirse anárquicamente. En uno de sus primeros hacks del año, por ejemplo, la banda atacó una empresa brasileña de alquiler de autos, re dirigiendo la página de inicio del negocio a un sitio web porno durante varias horas. En otro incidente, la banda se hizo con la cuenta verificada de Twitter de un periódico portugués y tuiteó: "LAPSUS$ ES OFICIALMENTE EL NUEVO PRESIDENTE DE PORTUGAL".

Los primeros informes sobre LAPSUS$ intentaron clasificar al grupo como una "banda de ransomware", en parte debido a su costumbre de filtrar datos robados, como suelen hacer las bandas de ransomware. Superficialmente, podría parecerlo, pero sólo había un problema: LAPSUS$ nunca ha utilizado realmente un ransomware.

La banda ha operado puramente a través de un modelo de extorsión, evitando por completo el malware. En lugar de cifrar los datos de las víctimas, LAPSUS$ se limita a robarlos y a amenazar con filtrarlos si no se paga el rescate. Se trata de una extraña y torpe variación del modelo de doble extorsión de la industria del ransomware, que utiliza la doble amenaza de cifrar y filtrar los datos para incitar a las víctimas a pagar. En general, la mayoría de las bandas de ransomware operan como versiones en la sombra de corporaciones típicas, desplegando una maquinaria digital bastante organizada y sofisticada para el robo y la extorsión.

Por el contrario, LAPSUS$ ha operado como una startup disfuncional. En algunos casos, no ha tenido la disciplina necesaria para pedir un rescate, sino que ha optado por omitir la demanda financiera y filtrar los datos hackeados porque sí. Los investigadores de seguridad de Microsoft se han referido a este estilo como un "modelo de pura extorsión y destrucción", una frase que describe adecuadamente el caótico y no del todo eficaz modus operandi del grupo.

Causando estragos

Un área en la que LAPSUS$ ha tenido un claro éxito es la de la intrusión, aunque no utiliza necesariamente técnicas innovadoras para entrar en las redes y sistemas. El grupo ha aprovechado una serie de estrategias bien conocidas, como el uso de un malware para robar contraseñas llamado "Redline", una serie de tácticas de ingeniería social y la compra de credenciales de cuentas y tokens de sesión en foros de la red oscura. Al mismo tiempo, la banda ha cortejado con frecuencia a los empleados de las empresas objetivo, tratando de captarlos a través de lo que son anuncios de empleo en línea. En un caso, el presunto líder del grupo ofreció a los empleados de Verizon y AT&T hasta 20.000 dólares a la semana para que desertaran a su operación criminal y realizaran "trabajos internos".

Los variados métodos de LAPSUS$ para atacar a sus objetivos han tenido un éxito notable. Su hackeo a Microsoft, por ejemplo, se cree que ha comprometido una gran cantidad de datos, incluyendo el 90% del código fuente del motor de búsqueda Bing, así como casi la mitad del código fuente de Bing Maps y del asistente virtual Cortana. El ataque de la banda a Okta, por su parte, puede tener implicaciones para las empresas más allá de la propia firma de verificación de identidad. Dado que Okta vende sus servicios de seguridad a miles de otras empresas, un compromiso de sus sistemas tiene implicaciones de seguridad también para sus clientes. En una actualización del miércoles, Okta admitió que los datos de hasta 366 de sus clientes habían sido potencialmente afectados por el reciente ataque LAPSUS$.

En busca de notoriedad

Otro indicio de las tendencias llamativas pero potencialmente imprudentes de la banda reside en su singular vector de filtración. LAPSUS$ utiliza la aplicación de chat semicriptada Telegram, algo que no es típico de la mayoría de las bandas de ciber delincuentes. La mayoría de los hackers de ransomware crean sus propios "sitios de filtración" en los que recopilan el material hackeado y amenazan con publicar más si su víctima no paga. Estos sitios suelen ser entornos escasos y controlados.

LAPSUS$, por su parte, ha utilizado Telegram y otras cuentas de redes sociales como una especie de megáfono, una estrategia que le ha permitido cultivar una relación más ruidosa e interactiva con el público. La banda tiene actualmente unos 48.000 seguidores en Telegram y anima activamente a sus espectadores a comentar las filtraciones, a mantener correspondencia con sus miembros por correo electrónico y, en general, a seguir sus aventuras de hackeo.

Este comportamiento parece revelar que a LAPSUS$ le gusta llamar la atención, quizá incluso más que el dinero, pero probablemente menos que el hackeo Ese podría ser el problema del grupo: al igual que muchos delincuentes novatos, parecen más preocupados por la adrenalina y el protagonismo que por llevar a cabo una operación eficaz para ganar dinero.

La hora del aficionado

Los analistas de ciberseguridad coinciden en que, a pesar de la lista de impresionantes muescas en su cinturón y de sus exitosas técnicas de intrusión, LAPSUS$ puede que no dirija el barco más hermético. Es decir, la banda podría ser mejor en el ámbito de "hackear" que en el de la gestión de un negocio delictivo, lo que tendría cierto sentido si la banda fuera en realidad un grupo de niños. Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft, dijo que algunos de los comportamientos de la banda muestran claramente una falta de eficiencia y organización.

"Si los ataques hubieran sido llevados a cabo por una operación de ciber crimen más organizada o por un actor respaldado por el Estado, el resultado podría haber sido mucho peor", dijo Callow "Esto no quiere restar importancia a la amenaza que pueden representar grupos como LAPSUS$. El hecho de que sus motivaciones no estén necesariamente tan claramente definidas como las de otras operaciones de ciber delincuencia puede hacer que sean más difíciles de tratar."

Otros analistas coinciden en que LAPSUS$ no sabe realmente cómo asegurar un pago y, de hecho, puede que ni siquiera esté interesado en ello. "LAPSUS$ tiene un historial de exigencias poco realistas a cambio de sus datos robados", sustrajeron recientemente algunos investigadores de amenazas de SecurityScorecard.