Un jurado de Londres condenó a dos adolescentes del Reino Unido por formar parte de la famosa banda transnacional LAPSUS$ y por orquestar una serie de ataques descarados y de alto perfil contra importantes empresas tecnológicas y exigir un rescate a cambio de no filtrar la información robada.
Esto incluye a Arion Kurtaj (también conocido como White, Breachbase, WhiteDoxbin y TeaPotUberHacker), un joven de 18 años de Oxford y un menor no identificado, que comenzaron a colaborar en julio de 2021 después de haberse conocido en línea, informó la BBC esta semana .
Ambos acusados fueron arrestados inicialmente y puestos en libertad bajo investigación en enero de 2022, solo para ser arrestados nuevamente y acusados por la policía de la ciudad de Londres en abril de 2022. Posteriormente, a Kurtaj se le concedió la libertad bajo fianza y se le trasladó a un hotel en Bicester después de que lo engañaran en un Foro en línea sobre ciberdelincuencia.
Sin embargo, continuó con su ola de piratería informática, dirigida a empresas como Uber , Revolut y Rockstar Games , como resultado de lo cual fue arrestado nuevamente en septiembre. Otro presunto miembro del grupo fue detenido por las autoridades brasileñas en octubre de 2022.
Para llevar a cabo los esquemas de extorsión fue fundamental su capacidad para realizar intercambios de SIM y provocar ataques con bombas para obtener acceso no autorizado a redes corporativas después de una extensa fase de ingeniería social.
La operación con motivación financiera también implicó publicar mensajes en su canal de Telegram para solicitar personas internas deshonestas que puedan proporcionar credenciales de red privada virtual (VPN), infraestructura de escritorio virtual (VDI) o Citrix a las organizaciones.
Un informe reciente del gobierno de Estados Unidos encontró que los actores ofrecieron hasta 20.000 dólares por semana para acceder a proveedores de telecomunicaciones para llevar a cabo ataques de intercambio de SIM. Caracterizó a LAPSUS$ como único por su «eficacia, velocidad, creatividad y audacia» y por convertir en arma un «libro de técnicas efectivas».
«Para ejecutar intercambios fraudulentos de SIM, LAPSUS$ obtuvo información básica sobre sus víctimas, como su nombre, número de teléfono e información de red propiedad del cliente (CPNI)», dijo la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional (DHS). .
«LAPSUS$ obtuvo la información a través de una variedad de maneras, incluida la emisión de [Solicitudes de divulgación de emergencia] fraudulentas y el uso de técnicas de apropiación de cuentas para secuestrar las cuentas de los empleados y contratistas de los proveedores de telecomunicaciones».
«Luego realizó intercambios fraudulentos de SIM a través de las herramientas de gestión de clientes del proveedor de telecomunicaciones. Después de ejecutar los intercambios fraudulentos de SIM, LAPSUS$ se hizo cargo de las cuentas en línea mediante flujos de trabajo de inicio de sesión y recuperación de cuentas que enviaban enlaces únicos o códigos de acceso MFA a través de SMS o llamadas de voz. «.
Otros métodos de acceso inicial iban desde emplear los servicios de intermediarios de acceso inicial (IAB) hasta la explotación de fallas de seguridad, tras lo cual los actores tomaron medidas para escalar privilegios, moverse lateralmente a través de la red, configurar acceso persistente a través de software de escritorio remoto como AnyDesk y TeamViewer, y deshabilite las herramientas de monitoreo de seguridad.
Entre las empresas infiltradas por LAPSUS$ se encuentran BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Samsung, Ubisoft y Vodafone. Actualmente no está claro si alguna de las empresas violadas pagó los rescates. Se espera que los adolescentes sean sentenciados en una fecha posterior.
«El grupo ganó notoriedad porque atacó con éxito a organizaciones bien defendidas utilizando ingeniería social altamente efectiva; apuntó a las cadenas de suministro comprometiendo la subcontratación de procesos comerciales (BPO) y los proveedores de telecomunicaciones; y utilizó su canal público Telegram para discutir sus operaciones, objetivos y éxitos. e incluso comunicarse con sus objetivos y extorsionarlos», dijo la CSRB.
Fuente y redacción: thehackernews.com
