Cómo proteger tu organización de los ataques del grupo cibercriminal Lapsus$

Un grupo de cibercriminales relativamente nuevo ha ganado rápidamente una reputación infame por sus tácticas únicas y ataques exitosos contra varias organizaciones importantes. Conocido como Lapsus$, esta banda utiliza la ingeniería social para atacar a sus víctimas y ha golpeado a empresas como Samsung, Okta, NVIDIA y Microsoft. En una publicación de blog publicada el martes, Microsoft ofrece información sobre las tácticas y técnicas del grupo y ofrece consejos sobre cómo proteger a tu organización de estos ataques.

Índice de Contenido
  1. Tácticas de Lapsus$
  2. Cómo evitar ser víctima de Lapsus$

Tácticas de Lapsus$

Como táctica, Lapsus$ utiliza la ingeniería social basada en teléfonos mediante el intercambio de SIM para comprometer el teléfono de una víctima. Con el intercambio de SIM, un criminal convence o incluso soborna a un empleado de un operador móvil para cambiar el número de teléfono de la víctima por una tarjeta SIM propiedad del atacante. Cualquier solicitud de autenticación de múltiples factores se redirige entonces al teléfono del criminal a través de una llamada o un mensaje de texto, permitiéndole tomar el control de la cuenta de la víctima.

Como otra táctica, Lapsus$ comprometerá las cuentas personales o privadas de alguien como una forma de obtener acceso a sus cuentas relacionadas con el trabajo. Un empleado a menudo utilizará sus cuentas personales o número de teléfono como un método para recuperar contraseñas o para la autenticación de múltiples factores, abriendo la puerta para que un criminal restablezca una contraseña o tome el control de una cuenta.

En algunos casos, los miembros de la banda llamarán al servicio de asistencia de una organización e intentarán persuadir al representante de soporte para que restablezca las credenciales de una cuenta privilegiada. Para parecer más convincentes, el grupo utiliza cualquier información recopilada previamente sobre la cuenta y tiene una persona que habla inglés comunicándose con el representante de ayuda.

En otra táctica, Lapsus$ busca empleados y socios comerciales dispuestos a proporcionar acceso a las credenciales de cuenta y detalles de autenticación de múltiples factores a cambio de pago. El blog de Microsoft incluye un ejemplo de un anuncio de Lapsus$ buscando empleados en centros de llamadas, operadores móviles y grandes corporaciones dispuestos a compartir acceso VPN o Citrix a una red a cambio de dinero.

Además de estos trucos de ingeniería social, Lapsus$ lleva a cabo métodos más tradicionales para obtener acceso a cuentas, redes y otros activos sensibles. El grupo comprará credenciales y tokens en foros de la Dark Web, escaneará repositorios de código público en busca de credenciales expuestas y utilizará un robacontraseñas conocido como Redline para capturar contraseñas y tokens.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Además, Lapsus$ intentará explotar vulnerabilidades de seguridad en herramientas basadas en la web como Confluence, JIRA y GitLab, según Microsoft. Al comprometer los servidores que alojan estas herramientas, el grupo intenta obtener las credenciales de una cuenta privilegiada y luego utiliza un comando interno de Microsoft conocido como ntdsutil para extraer la base de datos de Active Directory de una red objetivo.

En la misma línea, Lapsus$ utiliza una herramienta de Active Directory llamada AD Explorer para recopilar los nombres de todos los usuarios y grupos de un dominio de red. Determinando qué cuentas tienen privilegios más altos, el grupo luego busca plataformas como SharePoint, Confluence, JIRA, GitLab y GitHub para encontrar aún más credenciales de cuentas con altos privilegios a través de las cuales puede acceder a datos sensibles adicionales.

Emergiendo en diciembre de 2021, Lapsus$ inicialmente apuntó a organizaciones de telecomunicaciones, educación superior y gobierno en América del Sur, según Microsoft. Estos primeros ataques a menudo comprometieron cuentas de criptomonedas para robar sus billeteras digitales. Desde entonces, el grupo ha expandido su alcance a nivel mundial, atacando a organizaciones en sectores como manufactura, venta al por menor, atención médica y otros.

Una de las víctimas más públicas de la banda ha sido Microsoft en sí misma. La compañía dijo que encontró una sola cuenta comprometida por Lapsus$, dándole al grupo un acceso limitado. Aunque Lapsus$ afirmó haber extraído parte del código fuente, Microsoft dijo que no encontró ningún código o datos expuestos en la brecha.

Cómo evitar ser víctima de Lapsus$

Para ayudar a las organizaciones a protegerse contra los ataques de Lapsus$, Microsoft ofrece los siguientes consejos:

  • Requerir autenticación de múltiples factores (MFA). Aunque la táctica de intercambio de SIM utilizada por Lapsus$ está diseñada para evitar la MFA, este tipo de autenticación sigue siendo imprescindible. Se debe requerir MFA para todos los usuarios desde todas las ubicaciones, incluidas las ubicaciones de confianza y los sistemas locales.
  • Avoidar la autenticación basada en teléfono y SMS. A la luz de los métodos empleados por Lapsus$, no confíes en la MFA que utiliza llamadas telefónicas o mensajes de texto para autenticar a un usuario. En cambio, recurre a métodos más seguros como FIDO Tokens o Microsoft Authenticator con coincidencia de números.
  • Utilizar la protección de contraseña de Azure AD. Este tipo de protección asegura que los usuarios no dependan de contraseñas simples o fáciles de adivinar. Para obtener más detalles, consulta la publicación de blog de Microsoft sobre ataques de rociado de contraseñas.
  • Aprovechar otras herramientas de autenticación de contraseñas. Métodos como Windows Hello para Empresas, Microsoft Authenticator y FIDO tokens pueden reducir algunos de los riesgos asociados con las contraseñas.
  • Revisar la autenticación de VPN. Para manejar la detección de inicio de sesión basada en riesgos, tu autenticación de VPN debe aprovechar opciones como OAuth o SAML conectados a Azure AD. Este tipo de autenticación de VPN ha demostrado ser efectiva contra ataques de Lapsus$, según Microsoft.
  • Monitorear y revisar la seguridad en la nube. Esto implica revisar las configuraciones de riesgo de usuario y sesión de Acceso Condicional, implementar alertas sobre modificaciones de alto riesgo en una configuración de inquilino y examinar las detecciones de riesgo en Azure AD Identity Protection.
  • Educar a todos los empleados sobre los ataques de ingeniería social. Educa a tu personal de TI y centro de asistencia para que estén alerta ante usuarios sospechosos y comunicaciones inusuales con colegas. Revisa las políticas del centro de asistencia sobre restablecimiento de contraseñas, especialmente las de usuarios altamente privilegiados. Además, anima a los usuarios a informar cualquier comunicación sospechosa o inusual proveniente del centro de asistencia.
  • Establecer procesos de seguridad en respuesta a posibles intrusiones de Lapsus$. Lapsus$ monitorea las comunicaciones de respuesta a incidentes como una de sus tácticas. Por lo tanto, debes vigilar este tipo de canales de comunicación en busca de asistentes no autorizados o acceso.

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo proteger tu organización de los ataques del grupo cibercriminal Lapsus$ , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.