Quienes son LAPSUS$, sus métodos de ataques y formas de protección ~ Segu-Info

Microsoft está rastreando al grupo de extorsión LAPSUS$ como 'DEV-0537', el cual se enfoca principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.

Los actores detrás de DEV-0537 centraron sus esfuerzos de ingeniería social para recopilar conocimientos sobre las operaciones comerciales de su objetivo. Dicha información incluye conocimiento íntimo sobre los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen enviar spam a un usuario objetivo con indicaciones de autenticación multifactor (MFA) y llamar a la mesa de ayuda de la organización para restablecer las credenciales de un objetivo.

Historia del LAPSUS$

LAPSUS$ solo ha estado activos durante unos 4 meses, pero actualmente están recibiendo mucha atención y es probable que más estén más activos, si bien han confirmado por Telegram que "algunos de sus miembros se encuentran de vacaciones hasta el 30/3".

En el pasado, subieron publicaciones sobre empresas victimizadas y las amenazaron en foros de la web como RaidForums (ahora dado de baja) y Exploit.in, pero a partir del 10 de diciembre de 2021 crearon su propio canal de Telegram para promocionarse. El objetivo principal del grupo, que se estima está compuesto por al menos 5 miembros (algunos brasileños), es el dinero, y también se han confirmado algunos casos relacionados a su propia "diversión".

Los rastros del grupo se identificaron por primera vez el 15 de mayo de 2021 en el foro RaidForums. Afirmaron haber robado datos de SCHLUMBERGER, el proveedor de servicios de yacimientos petrolíferos más grande del mundo, y subieron una publicación que decía que vendieron 836.000 datos que contenían información de clientes y empleados por 2 BTC. En este momento, aún se consideraba un grupo de ransomware y se presume que se usaban el nombre de APT 777 / GoldFish Team, no el nombre actual del equipo LAPSUS$.

Dos meses después, subieron una publicación amenazando con haber robado 780 GB de código fuente de Electronics Arts (EA), la empresa de desarrollo y distribución de juegos de clase mundial ubicada en los Estados Unidos, y amenazaron con filtrar datos si se negaban a su última negociación. En este artículo, también se mencionó su clave PGP, y al final se confirmó el nombre actual del equipo, LAPSUS$.

Luego, en octubre de 2021, hackearon el Ministerio de Salud de Brasil y abrieron un canal de Telegram para intimidarlos. El nombre de usuario de Telegram actual, sigue teniendo relación con dicho Ministerio.

LAPSUS$ ha estado reclutando "personal" a través de múltiples plataformas de redes sociales desde al menos noviembre de 2021. Uno de los miembros principales de LAPSUS$ que usó los apodos "Oklaqq" y "WhiteDoxBin" publicó mensajes de reclutamiento en Reddit el año pasado, ofreciendo a los empleados de AT&T, T- Mobile y Verizon hasta U$S 20.000 a la semana para realizar "trabajos internos". Muchos de los anuncios de reclutamiento de LAPSUS$ están escritos en inglés y portugués. Según la firma de ciberinteligencia Flashpoint, la mayor parte de las víctimas del grupo (15 de ellas) son de América Latina y Portugal.

Funcionamiento

Una vez que LAPSUS$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que violaron en enero. LAPSUS$ ha realizado recientemente numerosos ataques contra la empresa, incluidos NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, y ahora Microsoft.

Estas credenciales se obtienen utilizando los siguientes métodos:

Instalación de Redline password stealer para obtener contraseñas y tokens de sesión.
Compra de credenciales y tokens de sesión en foros clandestinos y criminales
Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA).
Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas

Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, watering holes, sitios warez y videos de YouTube.

OKTA confirmó recientemente que 366 clientes de OKTA se vieron afectados por el incidente y se espera que tenga un impacto significativo. En Telegram se mencionan varias empresas y organizaciones a las que secuestraron y divulgaron datos.

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión. En al menos una oportunidad, LAPSUS$ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.

El grupo también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

Allison Nixon es directora de investigación de Unit 221B, una consultora de ciberseguridad con sede en Nueva York que sigue de cerca a los ciberdelincuentes involucrados en el intercambio de tarjetas SIM. Trabajando con investigadores de la firma de seguridad Palo Alto Networks, Nixon ha estado rastreando a miembros individuales de LAPSUS$ antes de que formaran el grupo, y dice que las técnicas de ingeniería social adoptadas por el grupo han sido abusadas durante mucho tiempo para apuntar a empleados y contratistas que trabajan para las principales redes móviles y compañías telefónicas. Palo Alto Unit42, junto con los investigadores de la Unidad 221B, identificaron al actor principal detrás de LAPSUS$ en 2021 y han estado ayudando a las fuerzas del orden público en sus esfuerzos por enjuiciar a este grupo.

"También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios", explica Microsoft en su informe.

Quienes son LAPSUS$

WhiteDoxbin (aka "White", "Breachbase", "Oklaqq"), el aparente cabecilla de LAPSUS$, es la misma persona que el año pasado compró Doxbin, un sitio web de larga data basado en texto donde cualquiera puede publicar la información personal de un objetivo o encontrar datos personales que ya han sido "doxeados".

Aparentemente, el nuevo propietario de Doxbin no pudo mantener el sitio funcionando y los otros miembros estaban muy descontentos con su administración. En enero de 2022, WhiteDoxbin accedió a regañadientes a ceder el control de Doxbin, vendiendo el foro a su propietario anterior con una pérdida considerable. Sin embargo, justo antes de abandonar el foro, WhiteDoxbin filtró todo el conjunto de datos de Doxbin (incluidos los dox privados) a través de Telegram.

La comunidad de Doxbin respondió ferozmente, publicando un dox muy completo sobre WhiteDoxbin, incluidos videos supuestamente filmados por la noche fuera de su casa en el Reino Unido. Según el documento, WhiteDoxbin comenzó en el negocio de comprar y vender vulnerabilidades 0-Day y "lentamente comenzó a ganar dinero para expandir aún más su colección de exploits".

Aquí no se publica el supuesto nombre real de WhiteDoxbin porque es menor de edad (nacido el 19 de febrero de 2005, actualmente tiene 17 años) y porque esta persona no ha sido acusada oficialmente de ningún delito. Además, la entrada de Doxbin para este individuo incluye información personal sobre los miembros de su familia.

Nixon dijo que antes de lanzar LAPSUS$, WhiteDoxbin era miembro fundador de un grupo de ciberdelincuentes que se autodenominaba "Recursion Team". Según el sitio web ahora desaparecido del grupo, se especializaban principalmente en el intercambio de objetivos de interés de SIM y la participación en swatting attacks, en los que se llaman a la policía falsas amenazas de bomba, situaciones de rehenes y otros escenarios violentos como parte de un plan para engañar a las víctimas.

Matriz ATT&CK y TTPs de LAPSUS$

A continuación se muestran algunos TTPs del grupo de ataque LAPSUS$ (aka DEV-0537) divulgado por Microsoft y en base a los anuncios de cada empresa víctima. Los TTPs específicos utilizados por el grupo aún no se ha revelado lo suficiente, por lo que es difícil determinar la competencia técnica real y competencia del grupo.

1. Desarrollo de recursos

Infraestructura dedicada que se ejecuta en un proveedor de servidor privado virtual (VPS).
Uso de NordVPN para ataques.

2. Acceso inicial y persistencia

Distribución de Redline para obtener contraseñas y tokens de sesión.
Comprar credenciales y tokens de sesión en foros de la Dark Web.
Pagar a un empleado de la organización objetivo (o proveedor/socio comercial) para comprar credenciales y MFA.
Buscar repositorios de códigos públicos con credenciales expuestas.
Acceder a sistemas y aplicaciones orientados a Internet utilizando credenciales comprometidas y/o tokens de sesión (vCenter, VPN, RDP, Citrix, VDI, Active Directory, Okta, etc.).
Asegurar credenciales adicionales para eludir MFA o capacidades de recuperación de contraseña.
Realiza un ataque de intercambio de SIM, sin pasar por la autenticación MFA basada en el teléfono.
Ejecución de Zero-Days

3. Reconocimiento y escalada de privilegios

Enumerar todos los usuarios y grupos de red usando AD Explorer
Descubrir y acceder a plataformas de colaboración como SharePoint o Confluence, soluciones como JIRA, repositorios de código como GitLab y GitHub, y canales de colaboración organizativa como Teams o Slack.
Explotación de vulnerabilidades sin parches en servidores accesibles internamente, incluidos JIRA, Gitlab y Confluence.
Buscar repositorios de código y plataformas de colaboración para obtener credenciales y secretos expuestos.
Herramienta DCSync Attack y Mimikatz para volcar credenciales y elevar privilegios.
Intentos de recuperación mediante un ataque de ingeniería social contra el personal del servicio de asistencia.

4. Evasión de defensa y acceso a credenciales

Robar certificados de empresas infiltradas y usarlos para firmar códigos maliciosos.
Volcar la base de datos NTDS para robar credenciales de dominio.
Crear máquinas virtuales dentro del entorno de nube del objetivo.
Crear y configurar una cuenta de administrador global en la instancia de la nube.

5. Exfiltración

Descargar datos confidenciales de la organización de destino a un sistema unido a la VPN de la organización o al sistema unido a Azure AD.

6. Impacto

Robar fondos de cuentas de criptomonedas.
Robo de datos confidenciales y filtraciones públicas.
Envío de correos electrónicos y SMS de phishing a los clientes.
Eliminación de recursos críticos en la nube y sistemas internos.
Manipulación y modificación del sitio web.
Demanda de rescate para evitar la fuga de datos robados.
Hackeo de cuentas de redes sociales
Fallo temporal del servicio para ocultar rastros.

Protección contra LAPSUS$

Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra actores de amenazas como Lapsus$:

Fortalecer los controles para evitar los TTPs mencionados
Fortalecer la implementación de MFA
Requerir puntos finales saludables y confiables
Aprovechar las opciones de autenticación modernas para las VPN
Fortalecer y supervisar la postura de seguridad en la nube
Mejorar el conocimiento de los ataques de ingeniería social
Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537

Por lo tanto, se recomienda encarecidamente que los administradores de seguridad y de red se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft.

Actualización 24/03 16:00

La policía de Londres arrestó a siete personas, de entre 16 y 21 años, en relación con los caso de ciberataques mencionados. "White" ha sido acusado de ser uno de los líderes de la pandilla LAPSUS$ , pero la policía no dijo si uno de los adolescente de Oxford estaba entre ellos.

El joven, que supuestamente amasó una fortuna de 14 millones de dólares, ha sido identificado por otros delincuentes e investigadores rivales.

La policía de la ciudad de Londres dice que arrestó a siete adolescentes en relación con la pandilla, pero no dirá si él es uno. El padre del adolescente le dijo a la BBC que su familia estaba preocupada y estaba tratando de mantenerlo alejado de las computadoras porque "jugaba demasiado". Según los documentos doxeados, el adolescente es una persona con autismo, de origen Albano, le encanta pescar y reside/residió en Madrid. Otro de los integrantes del grupo sería un adolescente de Brasil y quizás de allí viene la relación con algunas empresas de América Latina que han sido atacadas.

23 mar 2022

Quienes son LAPSUS$, sus métodos de ataques y formas de protección