«Algunos de nuestros miembros estarán de vacaciones un tiempo. Puede que estemos callados hasta entonces». Este es el último mensaje en Telegram del grupo de hackers Lapsus$, después de que 7 sus miembros – de entre 16 y 21 años- fueran detenidos en Inglaterra.
El líder el grupo, @Whitedoxbin, tiene 17 años, autismo, y vivía en casa de su madre en Oxford, en un modesto adosado de una tranquila calle lateral cerca de la Universidad de Oxford.
Era allí, en una de las habitaciones de esa casa, donde mientras parecía estar jugando a videojuegos, hackeaba Nvidia, Microsoft, Samsung, MercadoLibre, Ubisoft, Okta, Vodafone e incluso el Ministerio de Sanidad de Brasil. En la red, se convertía en el líder de una banda de hackers global. Su botín podría ser de 12 millones de euros en Bitcoin.
UN GRUPO DE TELEGRAM DONDE CONTAR SUS GESTAS
Se llaman Lapsus$ y en su grupo de Telegram no se esconden. Allí se dirigen a sus más de 50.000 seguidores. Reivindican o desmienten acciones y celebran sus hazañas. También amenazan, chantajean, divulgan código robado de empresas o dejan sus formularios de contacto para que su próxima víctima se ponga en contacto y así negociar sus exigencias.
Los seguidores los jalean en los comentarios de sus comunicados, donde explican como las empresas robadas mienten. Los moderadores crecen en una comunidad cada vez más grande. A veces, un mensaje automático recuerda que no hay que fiarse de todo el mundo. Podrían no ser miembros oficiales del staff: «Os recordamos que si alguien reclama ser parte Lapsus$ probablemente esté mintiendo, id siempre a los canales oficiales».
«Llámenlo descaro de juventud, pero, llegaron a unirse a las llamadas de las víctimas para escuchar a escondidas»
Este circo mediático, su ‘cueva de los ladrones’, estaría en consonancia con la tesis de Unit42, equipo de investigación de Palo Alto Networks, en California, que lleva siguiéndoles la pista tiempo. «Son un grupo de asalto motivado por la fama en lugar de la ganancia financiera», afirman.
Los Lapsus$ ya lo habían dicho en Telegram, pero nadie les había creído. Quieren la fama, la gloria. Sus seguidores, mientras tanto, suelen reírse del inglés de algunos de los miembros. Lo que demostraría que no todos son de un país anglófono.
Los mensajes en portugués son comunes. Y en efecto, la policía sospecha que uno de los miembros viviría Brasil. Pero, ¿en cuántos países podrían estar?
Siguiendo la creciente ola de amenazas en ciberseguridad a causa de la invasión de Ucrania, Lapsus$ continuó con sus propias operaciones, lo que se suma a la ola mundial de delitos cibernéticos. Se estima que estos delitos cuestan a la economía mundial más de 1 trillón de dólares anuales.
LAS TÁCTICAS USADAS POR LAPSUS$
Muchas de las tácticas desplegadas por Lapsus$ son familiares para los equipos de respuesta de seguridad. Entre ellas se encuentra la ingeniería social. Un atacante se hace pasar por una persona con el fin de engañar a un empleado en el soporte de ayuda y así dar acceso a los sistemas o proporcionar información sensible.
Otro es el intercambio SIM. El hacker reemplaza con éxito el número de teléfono de la víctima con el suyo propio para recibir un código de seguridad por sms. Antes, ya ha planeado todo, incluida la creación de una billetera criptomonedas y la nota de rescate adaptada a la víctima.
La información personal de @Whitedoxbin fue filtrada por hackers enemigos, incluida su dirección y fotos de sus padres
El grupo incluso anunció su disposición a pagar por credenciales de empleados de empresas víctimas, que luego se utilizarían para violar los sistemas de seguridad corporativos. El objetivo era acceder a las computadoras, robar datos y luego exigir el pago para evitar la liberación de información confidencial al público.
«Llámenlo exceso de confianza, o el descaro de la juventud, pero, llegaron a unirse a los foros de discusión de las víctimas y llamadas de comunicación de crisis – en plataformas como Slack y Microsoft Teams – para escuchar a escondidas», señala Microsoft.
Igualmente, habrían espiado las llamadas de Zoom cuando los empleados afectados llamaban para intentar quitar el virus de su ordenador a la empresa.
LOS ENEMIGOS DE LA BANDA
La información personal de @Whitedoxbin, su domicilio e incluso fotos de su padre, se hizo pública en internet hace unas semanas, según Bloomberg. Lapsus$ asegura que fueron hackers rivales. La policía británica, sin embargo, alega que ya conocía la información antes de esta filtración para proceder al arresto.
Fueron momentos duros para la familia. Su madre se negó a hablar con los reporteros que llegaron a la casa. Denunció por el telefonillo que se hubiera hecho pública la dirección con cientos de fotos y videos del domicilio. También el acoso que su hijo había sufrido por otros chicos desde entonces. Firme, negó conocer las acusaciones en contra de su hijo. ¿Cómo podía imaginarlo? Mientras tanto, las empresas tendrán que fiarse de las ‘vacaciones’ de los hackers.
