Cazadores de LAPSUS dispersos perfeccionan honeypot para atrapar atacantes

Investigación de LAPSUS$ y el uso de honeypots para rastrear a los atacantes

Recientemente, un investigador de seguridad creó un honeypot diseñado para atraer a los actores detrás del grupo LAPSUS$, conocido por sus ataques sofisticados y filtraciones mediáticas. La iniciativa pretendía no solo identificar nuevas tácticas y técnicas empleadas por el colectivo, sino también recopilar evidencia en un entorno controlado para anticipar sus movimientos y mejorar las defensas contra futuros compromisos.

El modus operandi de LAPSUS$ y su dispersión

LAPSUS$ ha ganado notoriedad por su enfoque directo en la extorsión digital, utilizando principalmente la ingeniería social y acceso a cuentas privilegiadas para infiltrarse en empresas de alto perfil. Este grupo se distingue por operar con cierto nivel de dispersión en la infraestructura que emplea, utilizando servidores proxy y herramientas legítimas para dificultar su rastreo. Además, sus miembros aparecen y desaparecen con rapidez, dificultando la obtención de un perfil claro y un seguimiento prolongado de sus operaciones.

Diseño estratégico del honeypot

El honeypot desarrollado por el investigador simula ser un entorno corporativo vulnerable con herramientas y configuraciones que imitan un sistema realista de administración de identidades y acceso, incluyendo instancias que simulan el uso legítimo de sistemas de autenticación. Dicho entorno fue configurado para atraer a los atacantes a intentar explotar supuestas vulnerabilidades, facilitando así la captación de sus métodos de autenticación, movimiento lateral y extracción de datos.

Este enfoque permitió al investigador observar en tiempo real las técnicas empleadas por LAPSUS$, identificando patrones reiterados en la forma de escalar privilegios y en el tipo de herramientas que utilizan para evadir controles.

Resultados y hallazgos reveladores

Entre los descubrimientos más relevantes se encuentran:

Una confirmación sólida de que LAPSUS$ privilegia ataques dirigidos a credenciales y sistemas de acceso privilegiado como puerta de entrada principal, en lugar de explotar vulnerabilidades técnicas directamente.
La utilización frecuente de software legítimo para operaciones maliciosas, complicando la detección basada en firmas tradicionales.
Una notable dispersión en su infraestructura, que incluye proxies y máquinas distribuidas, lo que dificulta la localización geográfica y el seguimiento continuo.

Estos hallazgos refuerzan la necesidad de que las organizaciones replanteen sus estrategias de protección, priorizando controles multicapa centrados en la gestión y monitoreo de identidades, así como en la detección conductual más que en sistemas estáticos de protección.

Implicaciones para la ciberseguridad corporativa

El trabajo del investigador demuestra que el uso de honeypots bien diseñados es una herramienta crucial para anticipar las tácticas de amenazas avanzadas como LAPSUS$. Además, evidencia que la ciberdefensa moderna no puede centrarse exclusivamente en la seguridad perimetral o la detección estática, sino que debe incorporar análisis dinámicos de comportamiento y reforzar los controles de acceso.

La amenaza que representa LAPSUS$ sigue vigente debido a su capacidad para adaptarse rápidamente y operar con infraestructura dispersa. Por lo tanto, la adopción de metodologías de defensa en profundidad y el despliegue de tecnologías para la gestión robusta de identidades y monitoreo continuo son medidas urgentes para disminuir el riesgo de ser comprometidos por este tipo de grupos.

Conclusión

El estudio basado en un honeypot específico para analizar a LAPSUS$ proporciona una visión precisa y actualizada de las técnicas utilizadas por esta amenaza. Las lecciones aprendidas subrayan la importancia de una estrategia integral que combine el análisis forense en tiempo real con controles avanzados de seguridad centrados en la identidad y el comportamiento de los usuarios y sistemas.

Source: Dark Reading – Scattered LAPSUS$ Hunters: Researcher Honeypot

← Nueva vulnerabilidad crítica en n8n con puntuación CVSS 9.9 permite ejecución remota de código Campaña ClickFix usa pantallas azules falsas para engañar y robar datos →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil