Es oficial: un grupo de adolescentes británicos logró hackear algunas de las empresas más grandes del planeta el año pasado, y lo lograron. todos utilizando técnicas de piratería bastante básicas.
Esa noticia llega a vía recientemente concluida procedimientos judiciales En Londres, donde los miembros del jurado acaban de condenar a dos adolescentes por haber sido miembros de la notoria banda de cibercrimen. LAPSUS$.
Durante gran parte del año pasado, LAPSUS$ Fomentó una reputación de ser una empresa criminal extraña, caótica y llamativa, con una inclinación por perseguir (y explotar con éxito) grandes objetivos. No es exactamente una pandilla de ransomware, pero está lejos de ser un grupo de niños con scripts ineficientes.Es, el grupo pirateó algunas de las empresas más grandes del mundo durante una ola de meses que causó estragos en todo Silicon Valley.
BBC News ahora informes que Arion Kurtaj, de 18 años, se describe como habiendo sido un miembro clave del grupo. Kurtaj, que tiene autismo, se dice han llevado a cabo o ayudado a llevar a cabo muchos de los ciberataques de la pandilla entre finales de 2021 y principios de 2022. La identidad de Kurtaj era previamente filtrado a la web por una facción rival del cibercrimen, pero, debido a su edad, las autoridades no lo han identificado públicamente hasta ahora. Kurtaj no era apto para ser juzgado, por lo que no compareció ante el tribunal, escribe la BBC.
Otro adolescente autista, que todavía es menor de edad y cuya identidad no ha sido revelada, también fue declarado culpable por el tribunal de haber sido miembro destacado de una pandilla, informa BCC.
Las muescas en el cinturón de la pandilla incluidas Úber, NVIDIA, microsoft, Samsung, Ubisoft, Juegos de Rockstar, y muchos otros. También fue pensado para estar conectado a una serie de violaciones de datos extrañas que utilizaron cuentas de correo electrónico pirateadas de las fuerzas del orden para solicitar datos de empresas como Apple, Meta y Snapchat. .
Las técnicas básicas de intrusión superan los estándares de seguridad de la industria
En muchos puntos, LAPSUS$ operó de manera poco convencional y audaz. Un ejemplo: se dice que los adolescentes piratearon algunos de sus objetivos más importantes: incluidos Rockstar Games, Uber y Nvidia, mientras estaban en libertad bajo fianza por sus delitos de piratería informático anteriores. En algunos casos, la pandilla no Incluso intentaría pedir un rescate por los datos que había robado; en cambio, simplemente derramaría los secretos corporativos robados por Internet, operando menos como un grupo criminal inteligente y más como una banda de terroristas de datos.
Más que nada, el asunto LAPSUS$ parece haber puesto de relieve lo fácil que es para los ciberdelincuentes evadir las medidas de seguridad de la mayoría de las corporaciones. En general, Kurtaj y su séquito parecen haber superado las defensas de las corporaciones masivas con relativa facilidad. informe La Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional ha proporcionado información adicional sobre el modus operandi de LAPSUS$, confirmando aún más el uso de la pandilla. de técnicas de piratería simplistas para afectar grandes rendimientos. El informe señala:
“Lapsus$ parecía funcionar en varios momentos para obtener notoriedad, ganancias financieras o diversión, y combinaba una variedad de técnicas, algunas más complejas. que otros, con destellos de creatividad... Penetró en las redes corporativas, robó el código fuente, exigió pagos y rara vez dio seguimiento, presentó mensajes políticos en oscuros foros en línea y rápidamente pasó a sus siguientes objetivos. Los ciberataques no fueron obra de un actor-estado-nación, y tampoco siempre involucraron herramientas o métodos particularmente complejos o avanzados. Sin embargo, los ataques fueron consistentemente efectivos contra algunos de los más dotados de recursos. y empresas bien defendidas en el mundo”.
En resumen: los proveedores de ciberseguridad claramente necesitan mejorar su juego. Si un grupo de estudiantes de secundaria aburridos pueden derrotar a la multitud de Fortune 500 defensas digitales esto fácilmente, todos estamos en serios problemas.
Este contenido ha sido traducido automáticamente del material original. Debido a los matices de la traducción automática, pueden existir ligeras diferencias. Para la versión original, haga clic aquí.