Se conoció un nuevo ataque por parte del grupo de hackers Lapsus$, esta vez el objetivo fue la empresa argentina Globant. Anteriormente habían atacado MercadoLibre.
El grupo Lapsus$ publicó la noticia en su canal de Telegram: “Regresamos oficialmente de unas vacaciones”.
En el grupo de casi 54.000 miembros, se publicaron imágenes de los datos extraídos y credenciales pertenecientes a la infraestructura DevOps de la compañía.
Las capturas de pantalla muestran una lista de carpetas de diferentes empresas de todo el mundo, como Banco Galicia, Arcserve, BNP Paribas, Facebook, entre otras.
¿Qué es el grupo Lapsus$?
El grupo Lapsus$ cumple con las características de una “amenaza avanzada persistente” (APT), que tiene objetivos de alto valor, como países y grandes corporaciones. Y extorsiona mediante ransomware (secuestro de datos).
Expertos aseguran que la intención de este grupo es “cobrar un rescate” por los datos robados.
Se cree que Lapsus$ tiene su sede en Brasil y está en la mira de los investigadores de seguridad desde 2020. Ganó notoriedad el año pasado cuando se le atribuyó el ataque al Ministerio de Salud de Brasil.
Microsoft los describe como “una campaña de extorsión e ingeniería social a gran escala”. El grupo tiene una motivación financiera y se ha observado que destruye los archivos de las víctimas o los filtra en línea al publico. La ingeniería social y el uso de intermediarios para los accesos iniciales son los métodos de acceso que suele usar el grupo como punto de apoyo inicial en los entornos de sus víctimas, conectándose a través de una infraestructura de escritorio remota o virtual y elevando los privilegios desde allí. En este sentido, los hackers criticaron la seguridad de la empresa afirmando que era “muy fáciles de adivinar”.
¿Cómo lograron hackear Globant?
El grupo realizó un llamado para “reclutar” empleados infieles que quieran proveer acceso a estas empresas ofreciendo a cambio una recompensa monetaria.
La compañía recientemente salió a hablar sobre este hecho. Reconoció lo sucedió y agrego que, según sus investigaciones, la brecha afectó a “pocos clientes” y no se esparció hacia otros sistemas de la empresa.
Pero la filtración de información puede suponer un peligro, tanto para la integridad de Globant, como de la de sus clientes. Entre los archivos filtrados se encontraban las claves privadas cifradas para los certificados utilizados para crear aplicaciones de iOS.
Algunos expertos afirman que se liberaron las claves privadas del servidor para las plantillas de maquina Azure de Globant, lo que podría comprometer sus servidores si un actor malicioso logra acceder a ellos externamente a través del protocolo SSH.