Investigadores sospechan que adolescente es el cerebro de grupo de hackers Lapsus$

Investigadores creen que un joven de 16 años es el autor intelectual de los ataques cibernéticos a un grupo de empresas de alto perfil

Por

Investigadores de ciberseguridad que indagan una serie de hackeos contra compañías de tecnología, incluidas Microsoft Corp. (MSFT) y Nvidia Corp. (NVDA), han rastreado los ataques hasta un joven de 16 años que vive en la casa de su madre cerca de Oxford, Inglaterra.

Cuatro investigadores que indagan al grupo de hackers Lapsus$, en nombre de las empresas que fueron atacadas, dijeron que creen que el adolescente es el autor intelectual.

Lapsus$ ha confundido a los expertos en ciberseguridad, ya que se ha embarcado en un alboroto de hackeos de alto perfil. La motivación detrás de los ataques aún no está clara, pero algunos investigadores de ciberseguridad dicen que creen que es el dinero y la notoriedad.

Los investigadores sospechan que el adolescente está detrás de algunos de los principales hackeos llevados a cabo por Lapsus$, pero no han podido vincularlo de manera concluyente a todos los hackeos que el grupo ha reclamado. Los investigadores cibernéticos han utilizado evidencia forense de los hackeos, así como información disponible públicamente para vincular al adolescente con el grupo de hackers.

Bloomberg News no está nombrando al presunto hacker, que en línea se hace llamar “White” y “breachbase”, que es menor de edad y no ha sido acusado públicamente por la policía de algún delito.

Se sospecha que otro miembro de Lapsus$ es un adolescente que reside en Brasil, según los investigadores. Una persona que indaga al grupo dijo que los investigadores de seguridad han identificado siete cuentas únicas asociadas con el grupo de piratería, lo que indica que probablemente haya otros involucrados en las operaciones del grupo.

El adolescente es tan hábil en la piratería, y tan rápido, que los investigadores inicialmente pensaron que la actividad que estaban observando estaba automatizada, dijo otra persona involucrada en la investigación.

Lapsus$ se ha burlado públicamente de sus víctimas, filtrando su código fuente y documentos internos. Cuando Lapsus$ reveló que había violado Okta Inc., envió a la compañía a una crisis de relaciones públicas. En múltiples publicaciones de blog, Okta reveló que un ingeniero de un proveedor externo había sido violado, y que el 2.5% de sus clientes podrían haberse visto afectados.

Lapsus$ incluso ha llegado a unirse a las llamadas de Zoom de las compañías que han violado, donde se han burlado de los empleados y consultores que están tratando de limpiar su hackeo, según tres de las personas que respondieron a los hackeos.

Microsoft, que confirmó que fue hackeado por Lapsus$, dijo en una publicación de blog que el grupo se ha embarcado en una “campaña de ingeniería social y extorsión a gran escala contra múltiples organizaciones”. El modus operandi principal del grupo es hackear empresas, robar sus datos y exigir un rescate para no liberarlos. Microsoft rastrea a Lapsus$ como “DEV-0537″, y dijo que el grupo ha reclutado con éxito a personas con información privilegiada en compañías victimizadas para ayudar en sus hackeos.

El grupo sufre de una seguridad operativa deficiente, según dos de los investigadores, lo que permite a las compañías de ciberseguridad obtener un conocimiento íntimo sobre los hackers adolescentes.

“A diferencia de la mayoría de los grupos de actividad que permanecen bajo el radar, DEV-0537 no parece cubrir sus huellas”, dijo Microsoft en una publicación de blog. “Van tan lejos como para anunciar sus ataques en las redes sociales o anunciar su intención de comprar credenciales de empleados de organizaciones objetivo. DEV-0537 comenzó a dirigirse a organizaciones en el Reino Unido y América del Sur, pero se expandió a objetivos globales, incluidas organizaciones en los sectores de gobierno, tecnología, telecomunicaciones, medios, venta minorista y atención médica”.

El hacker adolescente en Inglaterra ha tenido su información personal, incluida su dirección e información sobre sus padres, publicada en línea por piratas informáticos rivales.

En una dirección que figura en los materiales filtrados como la casa del adolescente cerca de Oxford, una mujer que se identificó como la madre habló con un reportero de Bloomberg durante unos 10 minutos a través de un sistema de intercomunicación de timbre. Se trata de una casa modesta y adosada en una tranquila calle lateral a unas cinco millas de la Universidad de Oxford.

La mujer dijo que no estaba al tanto de las acusaciones contra su hijo o de los materiales filtrados. Dijo que le molestaba que se incluyeran videos y fotos de su casa y de la casa del padre del adolescente. La madre dijo que el adolescente vive en esa dirección y había sido acosado por otros, pero muchos de los otros detalles filtrados no pudieron ser confirmados.

Ella se negó a hablar de su hijo o ponerlo a disposición para una entrevista, y dijo que el tema era un asunto de la policía y que estaba contactando a la policía.

La policía de Thames Valley y la Agencia Nacional del Crimen, que investiga la piratería en el Reino Unido, no respondieron de inmediato a los mensajes sobre el presunto hacker adolescente. La oficina de campo del FBI en San Francisco, que está investigando al menos una de las intrusiones de Lapsus$, declinó hacer comentarios.

Lapsus$ también ha afirmado haber violado Samsung Electronics Co., Vodaphone y Ubisoft. Después de violar Nvidia, Lapsus$ publicó el código fuente robado de la compañía en su canal de Telegram.

Después de que su afirmación de piratear Okta generara una ola de titulares el martes, Lapsus$ sugirió que se tomaría un tiempo libre de piratear a las compañías más grandes del mundo.

“Algunos de nuestros miembros tienen vacaciones hasta el 30/3/2022. Podríamos estar callados por algunas veces”, escribieron los hackers en su canal de Telegram. “Gracias por entendernos. - intentaremos filtrar cosas lo antes posible”.