Los arrestos de siete personas en relación con el grupo de delitos cibernéticos Lapsus$ por parte de las fuerzas del orden del Reino Unido parecen haber hecho poco para mellar la capacidad de la pandilla para realizar ataques cibernéticos de alto nivel, ya que una nueva violación de datos en la empresa de software Globant arrastra a muchos clientes destacados. de la firma, incluyendo Meta, Alphabet y Apple.
Lapsus$, que es importante recordar que no es una pandilla de ransomware en el sentido tradicional, ha cobrado prominencia en los últimos dos meses gracias a una serie de ataques de alto perfil contra empresas tecnológicas como Nvidia, Samsung, Ubisoft, Okta y Microsoft. , lo que resulta en la exfiltración, extorsión y fuga de datos.
La operación del grupo contra Globant, que se fundó en Argentina en 2003 pero ahora tiene su sede en Luxemburgo, supuestamente ha visto filtradas hasta 70 GB de datos de clientes. Según los informes, la fuga incluye las credenciales utilizadas por los administradores de Globant para acceder a varias plataformas de desarrollo, incluidas Confluence, Jira y GitHub.
El volcado también parece incluir carpetas de código fuente relacionadas con múltiples clientes de Globant, aunque Computer Weekly no ha determinado la veracidad de los datos.
Globant confirmó la brecha el miércoles 30 de marzo. Un portavoz dijo: “Recientemente hemos detectado que una sección limitada del depósito de códigos de nuestra empresa ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando una investigación exhaustiva.
“Según nuestro análisis actual, la información a la que se accedió se limitó a cierto código fuente y documentación relacionada con el proyecto para un número muy limitado de clientes. A la fecha, no hemos encontrado ninguna evidencia de que otras áreas de nuestros sistemas de infraestructura o los de nuestros clientes se hayan visto afectados. Estamos tomando medidas estrictas para evitar más incidentes”.
Computer Weekly contactó tanto a Alphabet como a Meta para confirmar el alcance de la brecha, pero ninguna de las organizaciones había respondido al momento de escribir este artículo.
Ambicioso, caótico, imprudente
Los analistas de Searchlight Security han estado rastreando ampliamente a Lapsus$ en las últimas semanas. Describen al grupo como una nueva generación de actores de amenazas: ambicioso y aparentemente algo caótico e imprudente en su organización y actitudes, así como inclinado a sembrar animosidad en la clandestinidad ciberdelincuente.
Estos factores parecen coincidir con la aparente capacidad del grupo para ignorar y tal vez incluso recuperarse de las operaciones policiales de la semana pasada. Un analista de Searchlight, que habló bajo condición de anonimato, dijo: “Estamos monitoreando nuevos desarrollos, pero todo lo que puedo decir es que no es sorprendente que el grupo haya continuado con sus ataques de alto riesgo incluso después de los arrestos en Londres dada su probable membresía internacional, como además de tener un grupo de talentos listo para usar de aspirantes a piratas informáticos ansiosos por ganarse el respeto en su grupo de Telegram.
“Es difícil predecir el próximo movimiento de las fuerzas del orden, ya que se cree que algunos de los miembros actualmente activos de Lapsus$ residen en países con leyes de seguridad cibernética subdesarrolladas, aplicación irregular y que no están suscritos a acuerdos internacionales sobre delitos cibernéticos. Es posible que se alcance la colaboración entre agencias, así como los esfuerzos para desmantelar la infraestructura de Lapsus$, lo que les dificulta llevar a cabo ataques”, dijeron.
Dada su actividad más reciente y su historial de infracciones de terceros como Sitel, que utilizó para llegar a Okta, el grupo es claramente consciente de cómo el mundo empresarial parece tener problemas con la seguridad de la cadena de suministro, dando a los equipos de seguridad y a los gestores de riesgos un nuevo impulso si es necesario para abordar estos problemas.
Joseph Carson, científico jefe de seguridad de Delinea, una compañía cibernética recién formada que comprende a sus predecesores Thycotic y Centrify, dijo que la brecha de Globant demostró que la seguridad de cualquier organización era tan buena como la compañía que mantenía.
“Para las grandes organizaciones, esa es su cadena de suministro”, dijo. “Lapsus$ parece haber perseguido a las principales organizaciones de la cadena de suministro y ha demostrado que ninguna organización tiene una protección del 100 %, lo que significa que se trata de reducir los riesgos y la detección temprana. La técnica que parece ser utilizada por Lapsus$ persigue a los usuarios privilegiados que deberían ser una prioridad máxima para proteger, y recomiendo encarecidamente a las organizaciones que apliquen el principio de privilegio mínimo”.
Callum Roxan, jefe de inteligencia de amenazas en WithSecure, el negocio empresarial recién creado de F-Secure, agregó: “Las intrusiones de alto perfil de Lapsus$ muestran los desafíos de proteger los datos y los sistemas en las arquitecturas de TI modernas. La gestión de la autenticación y la autorización es un desafío complejo cuando abarca múltiples plataformas, tecnologías y relaciones con los proveedores.
“La industria de la ciberseguridad definitivamente no ha alcanzado la madurez en la detección de estos ataques. Espero que este tipo de ataques continúen por parte de Lapsus$ y que más actores busquen imitarlos después de ver este éxito”.