Ciberseguridad 360 | El grupo de hackers Lapsus$ lleva los ataques de intercambio de SIM al siguiente nivel

El gobierno de Estados Unidos public� un informe tras analizar t�cnicas sencillas, como el intercambio de SIM, utilizadas por el grupo de extorsi�n Lapsus$ para vulnerar decenas de organizaciones con una s�lida estructura de seguridad.

La revisi�n de las operaciones del grupo comenz� en diciembre del a�o pasado, tras una larga serie de incidentes atribuidos o reivindicados por Lapsus$ tras filtrar datos confidenciales de supuestas v�ctimas.

Entre las principales empresas afectadas por Lapsus$ se encuentran Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft y Globant.

Lapsus$ se describe como un grupo poco organizado formado principalmente por adolescentes, con miembros en el Reino Unido y Brasil que actuaron entre 2021 y 2022 por notoriedad, beneficio econ�mico o por diversi�n. Sin embargo, tambi�n combinaron t�cnicas de diversa complejidad con "destellos de creatividad".

El poder del intercambio de SIM

La Junta de Revisi�n de Ciberseguridad (CSRB) del Departamento de Seguridad Nacional (DHS) finaliz� su an�lisis y describe las t�cticas y t�cnicas del grupo en un informe que tambi�n incluye recomendaciones para la industria.

"Lapsus$ emple� t�cnicas de bajo coste, bien conocidas y disponibles para otros actores de amenazas, revelando puntos d�biles en nuestra ciberinfraestructura que podr�an ser vulnerables a futuros ataques" - Junta de Revisi�n de Ciberseguridad del Departamento de Seguridad Nacional.

El grupo utilizaba el intercambio de tarjetas SIM para acceder a la red interna de una empresa y robar informaci�n confidencial, como c�digo fuente, detalles sobre tecnolog�a patentada o documentos comerciales y relacionados con los clientes.

En un ataque de intercambio de SIM, el autor de la amenaza roba el n�mero de tel�fono de la v�ctima transfiri�ndolo a una tarjeta SIM propiedad del atacante. El truco depende de la ingenier�a social o de una persona con informaci�n privilegiada en el operador de telefon�a m�vil de la v�ctima.

Con el control del n�mero de tel�fono de la v�ctima, el atacante puede recibir c�digos ef�meros basados en SMS para la autenticaci�n de dos factores (2FA) necesaria para iniciar sesi�n en varios servicios empresariales o acceder a redes corporativas.

Cadena de sucesos fraudulentos en el intercambio de tarjetas SIM

fuente: CSRB DEL DHS

Ir a la fuente

En el caso de Lapsus$, algunos de los intercambios fraudulentos de SIM se realizaban directamente desde las herramientas de gesti�n de clientes del proveedor de telecomunicaciones, tras secuestrar cuentas pertenecientes a empleados y contratistas.

Para obtener informaci�n confidencial sobre su v�ctima (nombre, n�mero de tel�fono, informaci�n de la red propiedad del cliente), los miembros del grupo utilizaban a veces solicitudes de divulgaci�n de emergencia (EDR) fraudulentas.

Lapsus$ tambi�n se bas� en personas internas de las empresas objetivo, empleados o contratistas, para obtener credenciales, aprobar solicitudes de autenticaci�n multifactor (MFA) o utilizar el acceso interno para ayudar al actor de la amenaza.

"Despu�s de ejecutar los intercambios fraudulentos de SIM, Lapsus$ se hizo con el control de cuentas en l�nea a trav�s de flujos de trabajo de inicio de sesi�n y recuperaci�n de cuentas que enviaban enlaces de un solo uso o contrase�as MFA a trav�s de SMS o llamadas de voz" - Department of Homeland Security Cyber Safety Review Board.

En un caso, Lapsus$ utiliz� su acceso no autorizado a un proveedor de telecomunicaciones para intentar comprometer cuentas de tel�fonos m�viles conectadas a personal del FBI y del Departamento de Defensa.

El intento fracas� debido a la seguridad adicional implementada para esas cuentas.

Ganar y gastar dinero

Seg�n las conclusiones de la CSRB, durante la investigaci�n el grupo lleg� a pagar hasta 20.000 d�lares semanales por acceder a la plataforma de un proveedor de telecomunicaciones y realizar intercambios de SIM.

Aunque el FBI no ten�a conocimiento de que Lapsus$ vendiera los datos que robaba ni encontr� pruebas de que las v�ctimas pagaran rescates al grupo, la CSRB afirma que algunos expertos en seguridad "observaron que Lapsus$ extorsionaba a organizaciones y que algunas pagaban rescates".

Seg�n las conclusiones de la CSRB, el grupo tambi�n explotaba vulnerabilidades no parcheadas en Microsoft Active Directory para aumentar sus privilegios en la red de las v�ctimas.

Se calcula que Lapsus$ aprovech� los problemas de seguridad de Active Directory hasta en un 60% de sus ataques, lo que demuestra que los miembros del grupo ten�an los conocimientos t�cnicos necesarios para moverse dentro de una red.

Un atacante puede crear una EDR falsa haci�ndose pasar por un solicitante leg�timo, como un agente de la ley, o aplicando logotipos oficiales a la solicitud.

Pisando el freno

Aunque Lapsus$ se caracteriz� por su eficacia, rapidez, creatividad y audacia, el grupo no siempre tuvo �xito en sus ataques. Fracas� en entornos que implementaban autenticaci�n multifactor (MFA) basada en aplicaciones o tokens.

Adem�s, los robustos sistemas de detecci�n de intrusiones en la red y la se�alizaci�n de la actividad sospechosa de las cuentas impidieron los ataques de Lapsus$. En los casos en que se siguieron los procedimientos de respuesta a incidentes, el impacto se vio "significativamente mitigado", afirma la CSRB en el informe.

A pesar de que investigadores y expertos en seguridad llevan a�os denunciando el uso de la autenticaci�n basada en SMS como insegura, la Junta de Revisi�n de la Ciberseguridad del DHS destaca que "la mayor�a de las organizaciones no estaban preparadas para prevenir" los ataques de Lapsus$ u otros grupos que emplean t�cticas similares.

Entre las recomendaciones de la Junta para evitar que otros actores obtengan acceso no autorizado a una red interna se incluyen:

Priorizar los esfuerzos para reducir la eficiencia de la ingenier�a social a trav�s de s�lidas capacidades de autenticaci�n que son resistentes al phishing MFA

Los proveedores de telecomunicaciones deben tratar los cambios de SIM como acciones altamente privilegiadas que requieren una fuerte verificaci�n de identidad, y proporcionar opciones de bloqueo de cuenta para los consumidores

Reforzar las actividades de supervisi�n y aplicaci�n de la Comisi�n Federal de Comunicaciones (FCC) y la Comisi�n Federal de Comercio (FTC)

Planificar ataques cibern�ticos disruptivos e invertir en prevenci�n, respuesta y recuperaci�n; adoptar un modelo de confianza cero y fortalecer las pr�cticas de autenticaci�n

Aumentar la resistencia frente a los ataques de ingenier�a social cuando se trata de solicitudes de divulgaci�n de emergencia (datos)

Las organizaciones deben aumentar la cooperaci�n con las fuerzas del orden informando los incidentes con prontitud; el gobierno de los EE. UU. ?orientaci�n clara y consistente sobre sus funciones y responsabilidades relacionadas con incidentes cibern�ticos?

Lapsus$ permaneci� en silencio desde septiembre de 2022, probablemente debido a las investigaciones policiales que condujeron a la detenci�n de varios miembros del grupo.

En marzo del a�o pasado, la polic�a de la ciudad de Londres anunci� la detenci�n de siete individuos vinculados a Lapsus$. Pocos d�as despu�s, el 1 de abril, se detuvo a dos m�s, uno de 16 y otro de 17 a�os.

En octubre, durante la Operaci�n Nube Oscura, la Polic�a Federal brasile�a detuvo a un individuo sospechoso de formar parte del grupo de extorsi�n Lapsus$, por vulnerar los sistemas del Ministerio de Sanidad del pa�s.

Fuente: bleepingcomputer