OSINT: el miembro adolescente de LAPSUS$ que ha provocado una crisis interna

Peritajes informáticos, OSINT y auditorías.

OSINT: el miembro adolescente de LAPSUS$ que ha provocado una crisis interna

marzo 9, 2022 Blog Ciberinvestigación Dante's Gates OSINT 0

Estos días los hemos visto en las redes sociales y prensa debido a su peculiar forma de exponer intrusiones en empresas como Samsung, Nvidia, Vodafone o Mercado Libre. Su modus operandi es algo diferente a lo que nos tienen acostumbrados algunos ciberdelincuentes. Parece que su comportamiento está motivado más por el hacktivismo que por el dinero, aunque en su cuenta de Telegram también subastan la información que consiguen extraer. Son un grupo realmente joven, sí, pero ya tienen sus pinitos mediáticos.

LAPSUS$: el origen

Vamos a empezar analizando la información que nos proporciona Telegram, como ya hicimos para el Estudio de Antivacunas. De esta forma queremos obtener algún dato del que podamos tirar del hilo para identificar el origen y los miembros que componen este grupo de ciberdelincuentes.

En Telegram encontramos dos canales y un grupo relacionados con el grupo. En el canal más viejo y con más usuarios encontramos los siguientes datos relevantes:

Hoy en día tiene 25933 miembros y su nombre es LAPSUS$. Sin embargo, su cuenta tiene una URL que indica que este grupo tiene una existencia anterior. La URL es https://t.me/minsaudebr y “minsaudebr” hace referencia al ministerio de salud de Brasil. Todo indica a que este grupo empezó realizando una intrusión a esta entidad y ha mantenido su canal. La fecha de creación es el 10 de diciembre de 2021. No obstante, el otro canal fue creado el 9 de septiembre de 2021 y se llama https://t.me/minsaudebrnews, teniendo un total de 611 miembros.

Analizando el texto que publican en sus canales encontramos indicios que nos hacen pensar que los miembros de este grupo son portugueses y no brasileños, ya que en las comunicaciones que envían, aunque intentan mantener un lenguaje lo más neutro y formal posible, expertos en portugués preguntados por Quantika14 aseguran que las expresiones que usan son más propias de los rasgos dialectales de Portugal que de Brasil.

El grupo con URL https://t.me/saudechat tiene actualmente 6214 miembros y una gran actividad. Analizando el primer mensaje encontramos que su nombre era: “Saude Hacker Chat”. Actualmente su nombre es LAPSUS$ Chat (saude es sanidad en portugués).

El grupo LAPSUS$, que se atribuyó la responsabilidad del ataque a los sistemas del Ministerio de Salud este viernes, es un grupo relativamente nuevo que, en foros de Internet, anunció que había pirateado los sistemas del gigante de los juegos electrónicos Eletronic Arts ( EA), responsable de éxitos como las franquicias FIFA, Los Sims y Battlefield. La información que asegura esto proviene del director ejecutivo de la empresa de ciberseguridad Harpia, el señor Filipe Soares.

El sitio web y varios sistemas del Ministerio de Salud están caídos desde la madrugada de este viernes. Según el ministro Marcelo Queiroga, la caída fue producto de un ataque de piratas informáticos que está siendo investigado por la Policía Federal y la Oficina de Seguridad Institucional (GSI). El ataque fue reivindicado por un autodenominado LAPSUS$ Group.

Otros ciberdelincuentes, tras realizar una intrusión informática, infectan los equipos con ransomware para chantajear a las víctimas con recuperar los archivos a cambio de dinero, siendo este su peculiar modelo de negocio. Con LAPSUS$, sin embargo, nos encontramos con una actividad híbrida entre el hacktivismo y el puro beneficio, ya que llegan a publicar toda la información sin pedir un rescate previo. Creemos que esto se debe a que intentar darse a conocer de esta forma.

También presentan algo diferente a otros grupos. Realizan encuestas a sus seguidores en la que preguntan qué empresas de las atacadas prefieren que pongan en evidencia:

Parece que el siguiente candidato votado es Vodafone.

En esta ocasión, no consta que hayan reclamado nada a la telefónica inglesa y parece que actúan como hacktivistas. Sin embargo, cuando vayamos conociendo a los miembros de este grupo veremos que su actividad no se basa en el activismo hacker.

¿Quiénes están detrás de LAPSUS$?

Lo primero que vamos a hacer es buscar el username “LAPSUS$” con Dante’s Gates Telegram Bot a través de su buscador de nicks.

Un mensaje que también está borrado en el canal, pero que hemos podido recuperar, es la siguiente captura de pantalla:

¿Quién es Alexander? ¿Quién es Whitedoxing?

Tras realizar otra búsqueda del usuario “whitedoxing” en DG encontramos una gran cantidad de información. Y todo indica que el “Grupo Lapsus$” tiene problemas internos o con otros grupos de ciberdelincuentes. Estos se atacan entre sí a través de técnicas dosxing de OSINT.

En la cuenta de Github encontramos el nombre de Alexandr Stardust y el username llraudseppll. Además, encontramos un perfil claramente ofensivo con repositorios como sqlmap, un RAT, aplicaciones para hacer fuerza bruta, etc.

Es llamativo que todos los repositorios son forks menos uno: “qbot scanner”. Script desarrollado en perl que inicialmente parece que tiene como función principal hacer conexiones por SSH usando fuerza bruta.

La guerra interna parece que le salpica a Alexander y Dante’s Gates encuentra que desde el 5 hasta el 8 de enero se publican diferentes doxings con él. Es difícil saber el origen de este enfrentamiento, aunque todo indica que Alexander compró una empresa y le fue mal. De ahí los enfrentamientos con los antiguos dueños.

Su nombre real no es Alexander, ha usado muchos, pero el real es A.K y tiene 16 años. Aparentemente es un menor de edad nacido en Reino Unido que le gusta pescar con su tío. Sin embargo, tiene una segunda vida dedicada a la venta de exploits y participar activamente dentro del grupo LAPSUS$. Os dejamos un diagrama de uno de los muchos caminos que se pueden seguir hasta obtener la identidad de la persona que está detrás de LAPSUS$.

Os dejamos un diagrama de uno de los muchos caminos que se pueden seguir hasta obtener la identidad de la persona que está detrás de LAPSUS$.

Aunque se haya identificado a A.K y seguramente los cuerpos de seguridad estén trabajando para su detención no debemos olvidar que LAPSUS$ está compuesto por varias personas. De igual manera que se ha hecho con “Alexandr” se puede hacer con el resto. No obstante, hemos querido enseñaros cómo han podido publicar toda la información del doxing de Wh1te.

Por último, tenemos que decir que es evidente que el grupo está teniendo una crisis interna y están publicando gran información que puede ocasionar que se les localice más facilmente. Por ejemplo:

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.