T-Mobile víctima de brechas de datos y ataques cibernéticos por el grupo Lapsus$

Ataques a empleados de T-Mobile

En marzo, T-Mobile fue víctima de una serie de violaciones de datos llevadas a cabo por el grupo cibercriminal Lapsus$. En una publicación del viernes, el sitio de seguridad KrebsOnSecurity reveló mensajes de chat filtrados entre miembros de la pandilla Lapsus$ en los que discutían cómo dirigirse a los empleados de T-Mobile con tácticas de ingeniería social diseñadas para darles acceso al número de teléfono móvil de una víctima. Conocida como "SIM swapping" (intercambio de SIM), esta táctica reasigna un número de teléfono a un dispositivo propiedad de los atacantes, lo que les permite interceptar mensajes de texto y llamadas telefónicas para obtener restablecimientos de contraseñas y códigos de autenticación de dos factores.

Acceso a través de credenciales VPN

Utilizando credenciales de VPN de T-Mobile compradas en la web oscura, los miembros de Lapsus$ lograron acceder a Atlas, una herramienta de T-Mobile para gestionar cuentas de clientes, según KrebsOnSecurity. Mientras algunos miembros de la pandilla discutían si centrarse en la táctica de cambio de SIM, una persona utilizó el acceso para ejecutar un script automatizado que descargó más de 30,000 repositorios de código fuente de T-Mobile.

Respuesta de T-Mobile

En respuesta a los incidentes, T-Mobile compartió la siguiente declaración con KrebsOnSecurity:

"Hace varias semanas, nuestras herramientas de monitoreo detectaron a un actor malintencionado que utilizaba credenciales robadas para acceder a sistemas internos que albergan herramientas de software operativas", dijo T-Mobile. "Los sistemas a los que se accedió no contenían información de clientes, gubernamentales u otra información igualmente sensible, y no tenemos evidencia de que el intruso haya podido obtener algo de valor. Nuestros sistemas y procesos funcionaron según lo diseñado, la intrusión se cerró y se bloqueó rápidamente, y las credenciales comprometidas utilizadas quedaron obsoletas".

Lapsus$ y sus tácticas poco sofisticadas

Desde su aparición en diciembre de 2021, Lapsus$ ha destacado por su combinación de diferentes tácticas, que incluyen la compra de datos robados en la web oscura, el escaneo de repositorios de código público en busca de credenciales expuestas, el uso de ladrones de contraseñas, el pago a empleados para que compartan datos sensibles y el empleo de trucos de ingeniería social para acceder a cuentas confidenciales. Desde entonces, el grupo ha atacado a varias compañías de alto perfil, como Microsoft, Nvidia, Samsung y Okta.

El peligro de las credenciales robadas

"Estos ataques de alto perfil de Lapsus$ destacan lo peligrosas que siguen siendo las credenciales robadas y los ataques de ingeniería social", dijo Ivan Righi, analista sénior de inteligencia de amenazas cibernéticas en Digital Shadows. "Los ataques de Lapsus$ no son muy sofisticados. Por lo general, inician sus ataques utilizando credenciales robadas y luego intentan eludir la autenticación de dos factores mediante esquemas de ingeniería social. Es probable que Lapsus$ esté adquiriendo estas credenciales en mercados clandestinos y sitios de AVC, como el mercado ruso, que ofrecen una variedad de credenciales a bajo precio".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Arrestos y continuación de los ataques

Irónicamente, los métodos de ataque evidentes y la afición de la pandilla por llamar la atención atrajeron problemas con las fuerzas del orden. Tras los últimos ataques, varios miembros activos de Lapsus$ fueron arrestados en marzo. A pesar de estos arrestos, sin embargo, el grupo parece seguir en actividad, ya que otros miembros han tomado el relevo y llevado a cabo ataques adicionales.

Fallas en la ciberseguridad

Los métodos utilizados por Lapsus$ también muestran claramente dónde las organizaciones siguen fallando en cuanto a ciberseguridad.

"No sorprende que las credenciales robadas sigan siendo un método preferido de compromiso", dijo Tim Wade, CTO adjunto de Vectra. "Quizás lo que sorprende a muchas organizaciones es la cantidad de riesgos que existen en torno a las credenciales y con qué frecuencia la incapacidad para evaluar eficazmente los riesgos en su postura o detectar y responder cuando algo sale mal les da a los adversarios la oportunidad de avanzar. Las organizaciones deben pensar detenidamente no solo en cómo manejarán los riesgos en el frente, sino también en cómo descubrirán y expulsarán a un adversario después de un compromiso".

La importancia del factor humano en la ciberseguridad

Muchas organizaciones se centran en herramientas y tecnologías de seguridad, pero descuidan al usuario.

"Las tácticas utilizadas por Lapsus$ no son novedosas, pero destacan una debilidad común en ciberseguridad: el factor humano", dijo Righi. "Incluso los controles técnicos más seguros pueden ser eludidos por actores de amenazas altamente capacitados en ingeniería social, y los usuarios que utilizan las mismas credenciales en varias cuentas pueden poner en riesgo a sus organizaciones".

La importancia de una autenticación multifactor segura

Cada vez más organizaciones utilizan la autenticación multifactor para proteger las cuentas de sus usuarios. Sin embargo, el tipo de autenticación multifactor implementada marca una gran diferencia en la seguridad. Los ataques realizados por Lapsus$ señalan los peligros de utilizar mensajes SMS o llamadas telefónicas para la autenticación multifactor, ya que el grupo se ha basado en esquemas de ingeniería social basados en teléfonos para comprometer cuentas.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a T-Mobile víctima de brechas de datos y ataques cibernéticos por el grupo Lapsus$ , tenemos lo ultimo en tecnología 2023.