En los últimos meses una de las bandas de ciberdelincuentes más reconocidas en el mundo de la informática conocida como LAPSUS$, se ha responsabilizado por la gran cantidad de ataques que han afectado a diversas empresas tecnológicas alrededor del mundo. Lo más impactante de todo ello, es que, meses atrás salió a la luz donde se rumoraba que la banda de ransomware estaba conformada por adolescente de diferentes países. Expertos en el área quedaron boquiabiertos, ya que, les resultaba absurdo que un grupo de adolescente fuera capaz de vulnerar los sistemas de algunas de las empresas a nivel internacional.

Algunas víctimas de LAPSUS$

• Microsoft

• Ubisoft

• Vodafone

• T-Mobile

• Nvidia

• Globant

• Okta

• Samsung

Los ataques cibernéticos son cada vez más comunes, esto ha llevado a muchas empresas a invertir miles de dólares en sus sistemas de seguridad y evitar a toda costa cualquier vulnerabilidad. Es de conocimiento general que, el objetivo principal de los ciberdelincuentes es obtener datos sensibles de la empresa para luego proceder con un soborno a cambio de no hacer pública la información obtenida.

En el caso de LAPSUS$, la banda ha sido capaz de lanzar con éxito un ataque de ransomware contra el Ministerio de Salud de Brasil. Sin embargo, los ciberataques de alto perfil no son nada nuevo. Lo sorprendente era la habilidad de estos adolescentes para cumplir sus cometidos. Otra cosa que llama la atención de LAPSUS$, es la fuerte presencia que tiene en redes sociales. Esta banda ha robado el código fuente y otra información de propiedad y a menudo ha filtrado esta información en Internet.

Credenciales robadas por LAPSUS$

En el caso de Nvidia, por ejemplo, los atacantes accedieron a cientos de gigabytes de datos de propiedad, incluyendo información sobre los chips que la compañía está desarrollando. Sin embargo, lo más preocupante es que LAPSUS$ afirma haber robado las credenciales de miles de empleados de Nvidia. El número exacto de credenciales robadas no está claro, ya que varios sitios de noticias tecnológicas informan de cifras diferentes. Sin embargo, Specops pudo obtener aproximadamente 30.000 contraseñas que fueron comprometidas en la brecha.

La ciberextorsión

Se ha demostrado que las bandas de ciberdelincuentes ya no se conforman con realizar ataques de ransomware comunes. En lugar de limitarse a cifrar datos, como se ha hecho tan a menudo en el pasado, LAPSUS$ parece mucho más centrado en la extorsión cibernética. LAPSUS$ accede a la propiedad intelectual más valiosa de una organización y amenaza con filtrar esa información a menos que se pague un rescate.

Una empresa tecnológica podría sufrir un daño irreparable si se filtrara su código fuente, la hoja de ruta de sus productos o sus datos de investigación y desarrollo, especialmente si esos datos se pusieran a disposición de la competencia.

Aunque los ataques de LAPSUS$ se han centrado hasta ahora principalmente en las empresas tecnológicas, cualquier organización podría ser víctima de un ataque de este tipo. Por ello, todas las empresas deben considerar cuidadosamente lo que pueden hacer para mantener sus datos más sensibles fuera de las manos de los ciberdelincuentes.

Contraseñas débiles

Todo indica que LAPSUS$ se aprovecha de las contraseñas débiles, aunque no hay información definitiva sobre cómo los atacantes obtuvieron acceso a las redes de sus víctimas, la lista de credenciales de Nvidia filtradas revela claramente que muchos empleados utilizaban contraseñas extremadamente débiles. Algunas de estas contraseñas eran palabras comunes (bienvenido, contraseña, septiembre, etc.). Muchas otras contraseñas incluían el nombre de la empresa como parte de la contraseña (nvidia3d, mynvidia3d, etc.). Son claves muy susceptibles para este tipo de empresas.

Es posible que los atacantes utilizaran un método de penetración inicial que no se basara en el uso de credenciales recolectadas y es mucho más probable que estas credenciales débiles desempeñaran un papel fundamental en el ataque.

Debido a esto, se recomienda que las organizaciones establezcan una política de contraseñas que exija contraseñas largas y complejas es un buen comienzo, pero hay más cosas que las empresas deberían hacer.

¿Cómo proteger su empresa de un ciberataque?

Una medida clave que las organizaciones pueden utilizar para evitar el uso de contraseñas débiles es crear un diccionario personalizado de palabras o frases que no están permitidas como parte de la contraseña. Por ejemplo, en Nvidia los empleados solían utilizar la palabra Nvidia como contraseña o como componente de la misma. Se podría haber utilizado un diccionario personalizado para evitar que cualquier contraseña contenga la palabra Nvidia.

Otra forma, incluso más importante, de que una organización pueda evitar el uso de contraseñas débiles es crear una política que impida a los usuarios utilizar cualquier contraseña que se sepa que ha sido filtrada. Las contraseñas deben cumplir con un alto nivel de complejidad para evitar cualquier ataque. Además, hay otros detalles que deben tener en cuenta las empresas para evitar cualquier hackeo, como, actualizar el antivirus, hacer monitoreos constantes, asegurar la red Wi-Fi entre otros. Es imprescindible que hoy en día las empresas desarrollen una cultura de seguridad cibernética para evitar ataques futuros.