En los últimos meses, una banda de ciberdelincuentes conocida como LAPSUS$ se ha adjudicado la responsabilidad de una serie de ataques de alto perfil contra empresas de tecnología, entre ellos:
- T‑Mobile (23 de abril de 2022)
- Globante
- Okta
- Ubisoft
- Samsung
- nvidia
- microsoft
- Vodafone
Además de estos ataques, LAPSUS$ también pudo lanzar con éxito un ataque de ransomware contra el Ministerio de Salud de Brasil.
Si bien los ataques cibernéticos de alto perfil ciertamente no son nada nuevo, hay varias cosas que hacen que LAPSUS$ sea único.
- El presunto autor intelectual de estos ataques y varios otros presuntos cómplices eran todos adolescentes.
- A diferencia de las pandillas de ransomware más tradicionales, LAPSUS$ tiene una presencia muy fuerte en las redes sociales.
- La pandilla es mejor conocida por la exfiltración de datos. Ha robado el código fuente y otra información patentada y, a menudo, ha filtrado esta información en Internet.
LAPSus$ credenciales robadas
En el caso de Nvidia, por ejemplo, la los atacantes obtuvieron acceso a cientos de gigabytes de datos propietarios, incluida información sobre chips que la empresa está desarrollando. Quizás más inquietante; sin embargo, LAPSUS$ afirma haber robado las credenciales de miles de empleados de Nvidia. El número exacto de credenciales robadas no está claro, ya que varios sitios de noticias tecnológicas informan números diferentes. Sin embargo, Specops pudo obtener aproximadamente 30 000 contraseñas que se vieron comprometidas en la filtración.
El auge de la extorsión cibernética
Hay dos conclusiones principales de los ataques LAPSUS$ a las que las organizaciones deben prestar atención. En primer lugar, los ataques de LAPSUS$ ilustran claramente que las bandas de ciberdelincuentes ya no se contentan con realizar ataques de ransomware comunes y corrientes. En lugar de simplemente cifrar datos como se ha hecho con tanta frecuencia en el pasado, LAPSUS$ parece estar mucho más centrado en la extorsión cibernética. LAPSUS$ obtiene acceso a la propiedad intelectual más valiosa de una organización y amenaza con filtrar esa información a menos que se pague un rescate.
Es posible que una empresa de tecnología sufra un daño irreparable si se filtra el código fuente, la hoja de ruta del producto o los datos de investigación y desarrollo, especialmente si esos datos se pusieran a disposición de los competidores.
Aunque los ataques LAPSUS$ hasta ahora se han centrado principalmente en las empresas de tecnología, es posible que cualquier organización se convierta en víctima de un ataque de este tipo. Como tal, todas las empresas deben considerar cuidadosamente qué pueden hacer para mantener sus datos más confidenciales fuera del alcance de los ciberdelincuentes.
Contraseñas débiles en juego
La otra conclusión importante de los ataques LAPSUS$ fue que, si bien no hay información definitiva sobre cómo los atacantes obtuvieron acceso a las redes de sus víctimas, la lista de credenciales de Nvidia filtradas que obtuvo Specops revela claramente que muchos empleados estaban usando contraseñas extremadamente débiles. Algunas de estas contraseñas eran palabras comunes (bienvenido, contraseña, septiembre, etc.), que son extremadamente susceptibles a los ataques de diccionario. Muchas otras contraseñas incluían el nombre de la empresa como parte de la contraseña (nvidia3d, mynvidia3d, etc.). ¡Al menos un empleado incluso llegó a usar la palabra Nvidia como contraseña!
Si bien es muy posible que los atacantes usaran un método de penetración inicial que no se basara en el uso de credenciales recopiladas, es mucho más probable que estas credenciales débiles desempeñaran un papel fundamental en el ataque.
Esto, por supuesto, plantea la cuestión de qué pueden hacer otras empresas para evitar que sus empleados utilicen contraseñas igualmente débiles, lo que hace que la organización sea vulnerable a los ataques. Establecer una política de contraseñas que requiera contraseñas largas y complejas es un buen comienzo, pero las empresas deberían hacer más.
Proteger su propia organización de un ataque similar
Una medida clave que las organizaciones pueden usar para evitar el uso de contraseñas débiles es crear un diccionario personalizado de palabras o frases que no se pueden usar como parte de la contraseña. Recuerde que en el ataque a Nvidia, los empleados a menudo usaban la palabra Nvidia como su contraseña o como un componente de su contraseña. Se podría haber usado un diccionario personalizado para evitar que cualquier contraseña contuviera la palabra Nvidia.
Otra forma, incluso más importante, en que una organización puede evitar el uso de contraseñas débiles es crear una política que impida a los usuarios usar cualquier contraseña que se sepa que se ha filtrado. Cuando se filtra una contraseña, esa contraseña se codifica y el hash generalmente se agrega a una base de datos de hash de contraseñas. Si un atacante adquiere un hash de contraseña, simplemente puede comparar el hash con la base de datos de hash, revelando rápidamente la contraseña sin tener que realizar un crack basado en diccionario o fuerza bruta que consume mucho tiempo.
La política de contraseñas de Specops brinda a los administradores las herramientas que necesitan para garantizar que los usuarios eviten el uso de contraseñas débiles o contraseñas que se sabe que han sido comprometidas. Specops facilita la creación de una política de contraseñas que cumpla con los estándares comunes de contraseñas, como los definidos por NIST. Sin embargo, además de establecer requisitos de longitud y complejidad, Specops permite a los administradores crear diccionarios de palabras que no deben usarse como parte de una contraseña. Además, Specops mantiene una base de datos de miles de millones de contraseñas filtradas. Las contraseñas de los usuarios se pueden verificar automáticamente con esta base de datos, lo que evita que los usuarios utilicen una contraseña que se sabe que ha sido comprometida.
