Las víctimas del último hack masivo de LAPSUS$ incluyen a Facebook, DHL
El grupode hackers LAPSUS$ ha revelado su último objetivo: Globant, una empresa de TI y desarrollo de software cuya clientela incluye al gigante tecnológico Facebook.
En una actualización de Telegram en la que los piratas informáticos afirmaron que "regresaron de vacaciones", refiriéndose potencialmente a los presuntos miembros del grupo arrestados en Londres, LAPSUS$ declaró que adquirieron 70 GB de datos de la brecha de seguridad cibernética.
No solo aparentemente obtuvieron información confidencial perteneciente a varias organizaciones grandes, sino que el grupo decidió liberar los 70 GB completos a través de un enlace de torrent.
Según lo informado por Computing , el grupo compartió evidencia del hackeo a través de una imagen que muestra carpetas que llevan el nombre de Facebook, DHL, Stifel y C-Span, por nombrar solo algunas.
Aunque hay una carpeta titulada "apple-health-app", no está directamente relacionada con el fabricante del iPhone.
En cambio, The Verge destaca cómo los datos que contiene están realmente asociados con la aplicación BeHealthy de Globant, que se desarrolló en asociación con Apple debido a su uso del Apple Watch.
Mientras tanto, LAPSUS$ publicó un mensaje adicional en su grupo de Telegram enumerando todas las contraseñas de los administradores de sistemas de Globant y las plataformas DevOps de la empresa. Vx-underground, que ha documentado convenientemente todos los ataques recientes del grupo, confirmó que las contraseñas son extremadamente débiles.
LAPSUS$ también arrojó a sus administradores de sistemas debajo del bus exponiendo sus contraseñas a la confluencia (entre otras cosas). Hemos censurado las contraseñas que mostraban. Sin embargo, debe tenerse en cuenta que estas contraseñas son muy fáciles de adivinar y se usan varias veces… pic.twitter.com/gT7skg9mDw
– vx-underground (@vxunderground) 30 de marzo de 2022
En particular, las credenciales de inicio de sesión para una de esas plataformas aparentemente ofrecían acceso a "3,000 espacios de documentos de clientes".
Tras el mensaje de Telegram y la posterior filtración del 30 de marzo, Globant mismo confirmó que estaba comprometido en un comunicado de prensa.
“Recientemente hemos detectado que una sección limitada del repositorio de códigos de nuestra empresa ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando una investigación exhaustiva.
Según nuestro análisis actual, la información a la que se accedió se limitaba a cierto código fuente y documentación relacionada con el proyecto para un número muy limitado de clientes. A la fecha, no hemos encontrado ninguna evidencia de que otras áreas de nuestros sistemas de infraestructura o los de nuestros clientes se hayan visto afectados.
Estamos tomando medidas estrictas para evitar más incidentes”.
A principios de marzo, siete presuntos miembros del grupo, supuestamente de entre 16 y 21 años, fueron arrestados en Londres, antes de ser liberados en espera de nuevas investigaciones. Según los informes, el presunto cabecilla del grupo, un joven de 16 años de Oxford, Reino Unido, aparentemente también ha sido descubierto por piratas informáticos e investigadores rivales. “Nuestras investigaciones siguen en curso”, declaró la policía de la ciudad de Londres.
Los investigadores de seguridad han sugerido que otros miembros de LAPSUS$ podrían tener su sede fuera de América del Sur.
El recién llegado a la escena de la piratería causa mucho ruido
LAPSUS$ ha ganado una reputación al inyectar actividad en la escena de la piratería en un lapso de tiempo extremadamente corto.
Sorprendentemente, la mayoría de sus hacks parecen tener éxito al simplemente apuntar a ingenieros de grandes empresas y sus puntos de acceso a través de contraseñas débiles . El grupo incluso enfatiza este hecho repetidamente en sus actualizaciones de Telegram.
Es comprensible que un usuario promedio desde su casa sea víctima de un hackeo debido a contraseñas débiles, pero no estamos hablando de individuos aquí. LAPSUS$ se ha infiltrado con éxito en algunas de las corporaciones más grandes de la historia sin la necesidad aparente de recurrir a métodos de piratería complicados y sofisticados.
Además, los piratas informáticos ahora incluso explotan contraseñas débiles que hacen que la propia fuente de alimentación de su PC sea vulnerable a un ataque potencial , lo que podría provocar que los actores de amenazas se quemen y provoquen un incendio. Con esto en mente, asegúrese de fortalecer sus contraseñas .
LAPSUS$ ya filtró los códigos fuente del motor de búsqueda Cortana y Bing de Microsoft. Ese incidente fue precedido por un hack masivo de Nvidia de 1 TB . Otras víctimas incluyen a Ubisoft, así como la violación de seguridad cibernética más reciente de Okta, que llevó a este último aemitir una declaración reconociendo un error en la forma en que informó la situación.