El grupo Lapsus$ se está dirigiendo a SharePoint, VPNs y máquinas virtuales

Desde ataques de ingeniería social hasta herramientas de administración: Un informe reciente de NCC Group examinó las tácticas utilizadas por Lapsus$ para vulnerar empresas como Microsoft, Nvidia y Samsung. Un nuevo informe arroja luz sobre las técnicas y tácticas de los ataques altamente impredecibles de Lapsus$. NCC Group publicó el jueves un informe que describe […]

Desde ataques de ingeniería social hasta herramientas de administración: Un informe reciente de NCC Group examinó las tácticas utilizadas por Lapsus$ para vulnerar empresas como Microsoft, Nvidia y Samsung.

Un nuevo informe arroja luz sobre las técnicas y tácticas de los ataques altamente impredecibles de Lapsus$.

NCC Group publicó el jueves un informe que describe cómo se lanzan los ataques de Lapsus$ y qué es lo que los convierte en un grupo tan único.

Si bien Lapsus$ se calmó luego de los arrestos de presuntos miembros en marzo, los ataques lanzados por el grupo siguen siendo desconcertantes tanto en sus motivos como en sus métodos.

El informe de NCC Group mostró cómo Lapsus$ usó cookies de autenticación robadas, específicamente las que se usan para aplicaciones Single-Sign-On (SSO), para ingresar inicialmente a los sistemas de sus víctimas. Los atacantes también rasparon los sitios de Microsoft SharePoint utilizados por las organizaciones objetivo, con la esperanza de encontrar las credenciales en la documentación técnica.

Desde ese punto de acceso inicial, Lapsus$ ascendió rápidamente en las organizaciones.

“La recopilación de credenciales y la escalada de privilegios son componentes clave de las infracciones de LAPSUS$ que hemos visto, con una rápida escalada de privilegios, se ha visto que el grupo pasa de una cuenta de usuario estándar a un usuario administrativo en un par de días”, relata el informe.

Además concluye que uno de los principales objetivos de los atacantes de Lapsus$ es la explotación de las VPN corporativas, aprovechando el aumento de su uso en los últimos años.

“El acceso a las VPN corporativas es un enfoque principal para este grupo, ya que permite que el actor de amenazas acceda directamente a la infraestructura clave que necesita para completar sus objetivos”, dice el informe. “En nuestros casos de respuesta a incidentes, vimos al actor de amenazas aprovechar las cuentas de correo electrónico comprometidas de los empleados para enviar correos a los sistemas de asistencia técnica solicitando credenciales de acceso o soporte para obtener acceso a la VPN corporativa”.

Los investigadores de NCC Group señalaron que, a menudo, Lapsus$ se comunicaba directamente con los empleados para obtener acceso a entornos de red y VPN. En algunos casos, a los empleados de las empresas víctimas se les ofrecería dinero directamente a cambio de sus credenciales o más información.

Los actores de amenazas de Lapsus$ rara vez usaban malware y, en cambio, adoptaron “vivir de la tierra”, según NCC Group. “En las investigaciones realizadas, se utiliza poco o ningún malware”, dice el informe. “En un caso, NCC Group observó que LAPSUS$ no usaba nada más que la herramienta legítima ADExplorer de Sysinternals, que se utilizó para realizar un reconocimiento del entorno de la víctima”.

Cuando se trataba de los objetivos de Lapsus$, el informe encontró que el grupo a menudo extraía datos y destruía partes de los entornos de red en sus ataques. En lugar de robar información personal, Lapsus$ generalmente se enfocaba en tomar el código fuente y la propiedad intelectual de las empresas.

“El robo de datos informado parece estar enfocado en gran medida en el código fuente de la aplicación o en información técnica patentada”.

“Con un objetivo de administración de código fuente interno o servidores de repositorio. Estos repositorios de git pueden contener no solo propiedad intelectual comercialmente confidencial, sino que también, en algunos casos, pueden incluir claves API adicionales para aplicaciones confidenciales, incluidas aplicaciones administrativas o en la nube”.

Aún así, NCC Group dijo que no está claro por qué Lapsus$ se enfoca en vulnerar las principales compañías de tecnología y obtener el código fuente, especialmente porque a algunas víctimas no se les pide que paguen rescates.

“Esto los distingue de los grupos de ransomware más tradicionales que tienen un modus operandi claro y están claramente centrados en las finanzas”, dice el informe. “El resultado de esto es que los LAPSUS$ son menos predecibles, lo que puede ser la razón por la que han tenido éxito recientemente”.