Datos Rápidos

• Los Cazadores de Lapsus$ Dispersos están ofreciendo recompensas en criptomonedas por enviar correos masivos a ejecutivos de empresas víctimas de ransomware.
• El grupo comprometió instancias de Salesforce en 39 organizaciones, utilizando una brecha de tokens OAuth a través de la integración de Salesloft Drift.
• Una nueva alianza con Crimson Collective y la brecha en Red Hat Consulting amplía el alcance y las capacidades del grupo.
• Los datos robados incluyen informes sensibles de interacción con clientes, código fuente y credenciales de la nube.
• A pesar de arrestos y cierres de canales de Telegram, el grupo sigue activo e innovador en sus tácticas.

La Mafia Digital: Una Nueva Era de Extorsión Cibernética

Imagina el caos de una ciudad bajo asedio - no por tanques ni tropas, sino por una avalancha implacable de correos electrónicos. Esa es la escena que se desarrolla en el ámbito digital, orquestada por los Cazadores de Lapsus$ Dispersos. Este infame colectivo de hackers no solo confía en sus propias habilidades - están reclutando a la multitud, ofreciendo $10 en criptomonedas a cualquiera dispuesto a saturar las bandejas de entrada de ejecutivos seleccionados. ¿El objetivo? Aumentar la presión hasta que las empresas paguen el rescate, convirtiendo la extorsión en un espectáculo público ruidoso e implacable.

Cómo Funciona el Ataque: Brecha en Salesforce y Más Allá

La brecha inicial fue tanto técnica como astuta. Al comprometer tokens OAuth - llaves digitales usadas para acceso seguro - dentro de la plataforma Salesforce mediante una herramienta de terceros llamada Salesloft Drift, el grupo obtuvo acceso a los entornos CRM de docenas de empresas. Google confirmó la brecha, que permitió a los atacantes robar datos sensibles y compilar una lista de 39 organizaciones objetivo. Los atacantes luego publicaron instrucciones detalladas y listas de destinatarios en su canal de Telegram, incentivando a usuarios comunes de internet a unirse a la campaña de bombardeo de correos. Las cuentas de correo personales eran especialmente valoradas, con bonificaciones para los voluntarios más persistentes.

Esto no se trata solo de abrumar a los departamentos de TI. Al desatar una mafia digital, los Cazadores de Lapsus$ Dispersos esperan quebrar la resistencia de los ejecutivos y forzar el pago de rescates. El enfoque es un giro siniestro al crowdsourcing - subcontratando el trabajo sucio de la extorsión a una audiencia en línea dispuesta.

Expandiendo el Sindicato Criminal: Crimson Collective se Une a la Contienda

La trama se complica con la entrada de Crimson Collective, un nuevo grupo de ransomware que recientemente vulneró los repositorios de GitLab de Red Hat Consulting, robando código e informes confidenciales de clientes. Durante el fin de semana, investigadores de ciberseguridad detectaron a Crimson Collective alineándose con los Cazadores de Lapsus$ Dispersos, aprovechando su sitio de filtraciones en la dark web para amenazar con la publicación de los datos robados de Red Hat. El sitio de filtraciones describía ominosamente los 570GB de información como una “bomba de tiempo”.

También se ha observado a Crimson Collective atacando entornos de Amazon Web Services (AWS), explotando una gestión débil de credenciales para robar datos sensibles en la nube y escalar los intentos de extorsión. Expertos en seguridad advierten que tales alianzas entre grupos criminales están haciendo los ataques más sofisticados y de mayor alcance, con víctimas que van desde gigantes tecnológicos hasta pequeñas empresas.

Historia e Implicaciones: El Auge del Cibercrimen Colaborativo

No es la primera vez que los hackers intentan “armar” a la multitud. Grupos como Lapsus$ y Shiny Hunters han utilizado previamente la ingeniería social y la presión pública para forzar pagos de rescate. Pero la última campaña de los Cazadores de Lapsus$ Dispersos marca un nuevo nivel de escala y audacia, difuminando la línea entre crimen organizado y vigilantismo en línea. Mientras las fuerzas del orden luchan por mantenerse al día - a pesar de algunos arrestos y cierres de canales - el ecosistema cibercriminal se adapta, formando nuevas alianzas e inventando métodos aún más caóticos.

Para las empresas, el mensaje es claro: la ciberseguridad ya no se trata solo de defensas técnicas. Se trata de prepararse para un mundo donde cualquiera con una cuenta de correo puede ser reclutado en una red de extorsión digital. El asedio ya está aquí - y viene desde todas las direcciones.

WIKICROOK

• Ransomware: El ransomware es un software malicioso que cifra o bloquea datos, exigiendo un pago a las víctimas para restaurar el acceso a sus archivos o sistemas.
• Token OAuth: Un token OAuth es una llave digital que permite a las aplicaciones acceder de forma segura a tus datos sin necesidad de tu contraseña cada vez.
• CRM (Gestión de Relaciones con Clientes): El CRM es un software que centraliza los datos de clientes, ventas y soporte de una empresa, optimizando la comunicación y mejorando las relaciones con los clientes.
• Vishing: El vishing es una estafa telefónica en la que los atacantes se hacen pasar por entidades de confianza para robar información sensible o dinero mediante llamadas engañosas.
• GitLab: GitLab es una plataforma en línea donde los desarrolladores almacenan, gestionan y colaboran en código de software, facilitando el trabajo en equipo y el control de versiones.