La Junta de Revisión de Seguridad Cibernética (CSRB, por sus siglas en inglés) dependiente del Departamento de Seguridad Nacional de Estados Unidos (DHS, por sus siglas en inglés) recientemente ha publicado un informe (agosto, 2023) sobre la revisión de los ataques asociados con Lapsus$ y los grupos de amenazas relacionados,  además de aportar una serie de recomendaciones para la industria.

Lapsus$, también conocido como Dev-0537 o Slippy Spider es un grupo de amenazas cibernéticas que ha estado activo desde al menos mediados de 2021, se especializa en operaciones de ingeniería social y extorsión a gran escala, incluidos ataques destructivos sin el uso de ransomware. El grupo se ha enfocado en organizaciones a nivel mundial, incluidos los sectores de gobierno, manufactura, educación superior, energía, atención médica, tecnología, telecomunicaciones y medios.

Entre los hallazgos más destacados, se pueden citar:

  • Los ataques perpetrados por Lapsus$ no involucraron herramientas o métodos particularmente complejos o avanzados, sin embargo, fueron consistentemente efectivos contra algunas de las empresas con más recursos y mejor defendidas del mundo.
  • Los investigadores tienen una amplia gama de opiniones sobre las motivaciones de Lapsus$. Si bien el grupo afirmó públicamente que su única motivación era el lucro, otras motivaciones plausibles parecen incluir notoriedad, diversión e ideología.
  • En este caso, se enfocaron en grupos de extorsión que tienen conexiones con Lapsus$: Yanluowang, 0ktapus o Roasted 0ktapus, Karakurt, Nwgen Team y NotLapsus.

Otro grupo que comparte similitudes con el perfil de los anteriores es RansomHouse.

  • La CSRB no recibió evidencia que sugiriera que Lapsus$ estaba afiliado a un Estado-nación o Entidad política.
  • Lapsus$ no tuvo éxito en todos sus intentos de ataques. La Junta encontró que las organizaciones con experiencia en defensa en los controles de profundidad fueron más resistentes a estos grupos de actores de amenazas.
  • Las organizaciones que usaron aplicaciones basadas en tokens o métodos MFA o sistemas robustos de detección de intrusos en la red empleados, incluida la detección rápida de cuentas sospechosas, fueron especialmente resilientes.
  • Las organizaciones que mantuvieron y siguieron su respuesta a incidentes establecida en los procedimientos mitigaron significativamente los impactos.
  • Organizaciones altamente efectivas emplearon mecanismos tales como comunicaciones fuera de banda (out-of-band) que permitieron a los profesionales de respuesta a incidentes coordinar los esfuerzos de respuesta sin ser monitoreados por los actores de la amenaza.

Para más información en detalle: https://michaelkoczwara.medium.com/lapsus-ttps-431d1ca21e80

Finalizando, las tácticas y métodos “poco convencionales” utilizados por Lapsus$, la mayor parte de las veces, han sido eficaces para romper las defensas de objetivos de alto perfil a nivel global.

La motivación detrás de los ataques es turbia. Parece alternar entre la extorsión y el caos. Esto hace que sea más difícil predecir y contener los esfuerzos del grupo.

Fuentes:

[1] <https://www.cisa.gov/resources-tools/resources/review-attacks-associated-lapsus-and-related-threat-groups-report&gt;

[2] <https://malpedia.caad.fkie.fraunhofer.de/actor/lapsus&gt;

[3] <https://attack.mitre.org/groups/G1004/&gt;

[4] <https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates&gt;

[5] <https://blog.segu-info.com.ar/2023/03/ransomhouse-nuevo-grupo-delictivo-que.html?m=0&gt;

[6] Ver: Orden Ejecutiva del 12 de mayo de 2021. Disponible desde: <https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/&gt;

[7] <https://cualesmi-ip.com/blog/lo-que-podemos-aprender-de-las-tecnicas-de-lapsus/&gt;