Uber culpa al grupo de hackers LAPSUS$ por la reciente filtración de datos

¡Uber acusa directamente a LAPSUS$ del hackeo de sus servidores!

Grupo de hackers LAPSUS$
Grupo de hackers LAPSUS$

Uber dio a conocer este lunes más detalles relacionados con el incidente de seguridad que se dio a conocer la semana pasada, atribuyendo este ataque de amenazas que está afiliado al mundialmente conocido grupo de hackers LAPSUS$.

Este conocido grupo de piratería informática usa técnicas simples para atacar a las grandes empresas de tecnología, y sólo en 2022 han logrado violar la seguridad de empresas como: 

  • Microsoft
  • Samsung
  • Nvidia 
  • Okta, entre otras más…
La empresa de transporte Uber culpa al grupo de hackers LAPSUS$ por la reciente brecha de seguridad
La empresa de transporte Uber culpa al grupo de hackers LAPSUS$ por la reciente brecha de seguridad

Dicha banda de ladrones cibernéticos con motivación financiera recibió un golpe realmente duro en marzo de 2022, cuando la policía de Londres arrestó a siete presuntos miembros de esta banda.

En las que figuraban hombres entre los 16 y 21 años, pocas semanas después, dos de ellos fueron acusados por sus acciones y sentenciados. 

El hacker que según está detrás de la violación de Uber, un adolescente de tan sólo 18 años de edad que se hace llamar Tes Pot, se atribuyó también la responsabilidad de irrumpir en el fabricante de juegos Rockstar Games, este fin de semana

Uber dijo que se encuentra trabajando con varias firmas forenses digitales líderes, mientras continúa con su investigación sobre el incidente, además de coordinar con la Oficina Federal de Investigaciones (FBI) y el Departamento de Justicia sobre el asunto.

Cómo fue que se desarrolló el ataque a Uber por el grupo de hackers LAPSUS$

La conocida empresa de viajes compartió que un contratista EX, vio comprometido su dispositivo personal con algún tipo de malware, y sus credenciales de acceso a su cuenta corporativa fueron robadas y vendidas en la web oscura.

Dicha empresa con sede en Singapur, la semana pasada, añadió que al menos dos empleados de Uber ubicados en Brasil e Indonesia, fueron afectados por los ladrones de información Raccoon y Vidar.

El atacante intentó en repetidas ocasiones iniciar sesión en la cuenta de Uber del contratista, dijo la compañía. «Cada una de ellas, el contratista recibió una solicitud de aprobación de inicio de sesión de dos factores, que inicialmente bloqueó el acceso. Sin embargo, el contratista aceptó una y el atacante inició sesión con éxito 

Al estar establecido al sistema accedió a las cuentas de otros empleados, lo que otorgó a la parte malintencionada con permisos elevados para otros sistemas internos, como lo serían Google, Workspace y Slack.

Entre las medidas que fueron adoptadas ante tal ataque del grupo de hackers LAPSUS$, destacan la desactivación de las herramientas afectadas, rotación de las claves de servicios; el bloqueo de la base de código y también el bloqueo de las cuentas de los usuarios comprometidos para que no accedan a los sistemas Uber.

¿Cuántos usuarios fueron afectados por este ataque a los sistemas de Uber por parte de los hackers LAPSUS$? 

Hasta la fecha Uber no reveló la cantidad de cuentas de empleados que se vieron afectados potencialmente por el grupo de grupo de hackers LAPSUS$, pero reiteró que no se realizaron cambios en el código.

El pirata informático descargó una cantidad no especifica de mensajes intentos de Slack e información de una herramienta interna, la cual fue usada por su equipo de finanzas para administrar ciertas facturas.

«Solo hay una solución para hacer que la [autenticación de múltiples factores] basada en push sea mucho más resistente y es la de capacitar a sus empleados, que usan MFA basado en push, sobre los tipos comunes de ataques en su contra, cómo detectar dichos ataques y cómo mitigarlos e informarlos si ocurren», dijo Roger Grimes, evangelista de defensa basada en datos de KnowBe4 por medio de un comunicado 

El hecho es que el grupo de hackers LAPSUS$ apuestan por rutas de ataque como los Kits de herramientas de proxy adversary-in-the-middle, y la fatiga MFA que es conocida cómo bombardeo rápido.

Estos logran engañar a los usuarios desprevenidos pasa que entreguen rápidamente los códigos MFA, o autoricen por medio de una solicitud de acceso la necesidad de usar métodos más resistentes al Phishing.

Uber informó que para evitar ataques similares, las organizaciones deben tomar medidas más seguras que la aprobación de MFA, como por ejemplo la coincidencia de números.

Para minimizar el riesgo de que los usuarios aprueben son pensar un mensaje de verificación de autenticación, una característica que no puede permitirse, ya que así es como el grupo de hackers LAPSUS$ toman el control de muchos sistemas.

¿Qué opinas tú acerca de la forma en la que el grupo de hackers LAPSUS$ llevó a cabo este ataque a Uber? No hay duda alguna que cada día los ataques son mejor planeados y más resistentes.