Detienen a 7 sospechosos de pertenecer a Lapsus$

Se conocen pocos detalles sobre las detenciones, según The Register, pero sí el rango de edad de los detenidos, que son muy jóvenes: tienen entre 16 y 21 años. De hecho, todas las sospechas apuntan a que uno de sus líderes, de Oxford, tiene solo 16 años.

La Policía de Londres ha confirmado los arrestos, «en conexión con una investigación sobre un grupo de hacking«, y señala que después han sido puestos «en libertad bajo investigación«, mientras sigue adelante la investigación.

En cuanto al menor sospechoso de ser el líder de Lapsus$, del que no se puede desvelar su identidad por motivos legales, se ha hecho al parecer con unos 14 millones de dólares en sus actividades delictivas online. Todo apunta que su información personal se filtró en Internet después de haberse peleado aparentemente con sus compañeros de fechorías. Al parecer, varias compañías de seguridad llevaban ya algunos meses siguiendo su pista, pero no han confirmado si el líder de Lapsus$ es el adolescente detenido.

Este grupo de hackers ha conseguido mucha notoriedad en los últimos meses por sus tácticas sin completos y su propensión a presumir sobre sus logros en Telegram. Su modus operandi habitual es infiltrarse en la red de un objetivo de gran envergadura y calado, hacer peticiones, generalmente de dinero, para que los objetivos atacados puedan evitar que los miembros del grupo hagan público el material que han conseguido al infiltrarse en sus redes. Eso sí, que paguen no les garantiza que los atacantes no publiquen lo sustraído, porque en muchos casos lo hacen. Al menos, con parte de ello.

Al principio de las investigaciones, todo apuntaba a que los miembros de Lapsus$ estaban en Brasil, porque entre sus primeras víctimas estaban el Ministerio de sanidad de Brasil y los medios en portugués SIC Noticias y Expresso. Las alarmas se dispararon cuando el pasado mes de febrero robaron 1 TB de datos de información de Nvidia, que incluía credenciales e información propietaria de la compañía, y publicaron online una parte. Pocos días después, el grupo aseguró que había accedido a la red de Samsung y robado 190 GB de sus archivos internos, con datos que incluían el código fuente de sus dispositivos Galaxy. Además, aseguran ser los responsables de un problema de seguridad que tuvo también Ubisoft.

Microsoft ha sido su última víctima, junto con la plataforma de autenticación Okta. Los de Redmond han confirmado que han sufrido el robo de una parte del código fuente de varios de sus productos, y que creen que el grupo parece actuar «motivado por el robo y la destrucción«.

Pero a diferencia de lo que hacen otros grupos, el grupo, al que Microsoft ha denominado DEV-0537, no parece cubrir sus rastros, que van desde anunciar sus ataques en redes sociales hasta hacer públicos sus intentos de robar credenciales de empleados en las organizaciones que tienen como objetivo. Lo hacen por diversos medios: ingeniería social, intercambio de tarjetas SIM, acceso a cuentas de correo electrónico de empleados, o pago a empleados y proveedores de las organizaciones por acceder a credenciales y al acceso mediante sistemas de identificación múltiple de las compañías. También se infiltran en las llamadas de comunicación de crisis de sus objetivos.