Grupo LAPSU$ | Ultima Modificación: 27.03.2022
Índice
Post actualizado al 27.03.2022
Introducción
El grupo identificado con el nombre "lapsu$" (GCA-0432 ID asignado por RedBird) ha estado activo en foros de la darknet desde el 15 de mayo del 2021. El grupo Lapsu$ no esta clasificado como un grupo del tipo RaaS, pero si clasificado como un grupo especializado en el robo de datos.
Otros nombres con los que posiblemente se les identificaba:
- APT777
- GoldFishTeam
Modo de Operación
El grupo GCA-0432 se caracteriza principalmente por ejecutar campañas de extorsión a gran escala, con el objetivo de robar datos, eliminar datos de servidores oficiales y solicitar pagos en criptomendas para evitar liberar la información. En algunos casos el grupo GCA-0432 ha solicitado a sus victimas una serie de demandas.
GCA-0432 se centra especialmente en un modelo de extorsión que hace uso de tácticas de ingeniería social, campañas de PHISHING y compra de credencias de acceso (user/pass), tambien explota a los empleados del tipo "insider" para lograr obtener acceso.
Puntos a tener en cuenta:
- El grupo GCA-0432 no hace uso de RANSOMWARE.
- Gobierno.
- Tecnología.
- Telecomunicaciones.
- Comercio Minorista.
- Servicios b2b.
- Servicios médicos (Atención Medica).
- Servicios técnicos.
Recomendamos leer: Tecnicas, Tacticas y Procedimientos de LAPSUS$
Intenciones/Motivaciones
El grupo esta principalmente motivado por las ganancias económicas, desde sus primeras operaciones, el grupo GCA-0432 se ha centrado en obtener beneficios económicos al extorsionar a sus objetivos con la información obtenida de ellos. El grupo también tiene una característica notable de destrucción; hace notar sus capacidades ofensivas y de intrusión en contra de sus objetivos al eliminar información.
Expertos consideran que dentro de su agenda, se encuentra "facilitar" las operaciones de minería de criptomendas al solicitar a NVIDIA que elimine la funición LHR (Lite Hash Rate) la cual limita la minería con sus tarjetas graficas.
Puntos a tener en cuenta:
- El grupo GCA-0432 tiene como principales motivaciones obtener beneficios económicos de sus operaciones.
- El grupo GCA-0432 tiende a anunciar sus operaciones en redes sociales (Telegram) y ejemplificar sus capacidades intrusivas y destructivas.
- Algunos miembros de GCA-0432 han comentado que algunos de sus objetivos son atacados por "diversión". Expertos consideran que puede ser una forma de "intimidar" a las victimas para considerar el pago.
Victimas
Las victimas de este grupo de cibercriminales identificadas:
- Samsung
- Filtraron un total de 190 GB de código.
- Nvidia [ nota ]
- El grupo accedió a mas de 70,000 credenciales de empleados de la compañía
- Accedió al código en desarrollo de la futura RTX 3090 Ti
- 07.03.2022 | Mercado Libre [ nota ]
- Lapsu$ accedió a casi 300,000 usuarios de la plataforma de comercio.
- 22.03-2022 | Microsoft [ nota ]
- Accedio y filtro 37 GB de codigo de BingMaps, Bing y Cortana
- Okta
- Impresa
- Claro
- Embratel
- NET y Localiza
- n/a.08.2021 | Ministerio de Salud de Brazil
- Logran filtrar un total de 50 TB de datos.
- Eliminan información de bases de datos oficiales.
- 15.05.2021 | Schlumberger
- Roban un total de 836,000 datos de clientes y empleados.
Medios oficiales del actor
- Deepweb/darknet
- N/A
- Telegram
- Canal: https://t.me/minsaudebr
- Grupo:
- Redes Sociales
- N/a
Indicadores de compromiso
N/A
Ultimas Noticias
24/03/2022 | La policía de Ucrania ha arrestado a 7 personas con conexiones con el grupo de cibercriminales LAPSU$ - [ noticia ]
0 Comentarios