Creyeron haber hackeado el Pentágono, pero solo cayeron en un "sandbox" — situación embarazosa para hackers de élite
Los ciberdelincuentes pensaron que habían dado el gran golpe, pero en realidad solo expusieron sus direcciones IP.
El grupo de hackers ShinyHunters afirmó haber vulnerado la infraestructura de la empresa Resecurity y sustraído datos internos. Sin embargo, en Resecurity están convencidos de que los ciberdelincuentes solo lograron acceder a una trampa creada ad hoc: un sistema aislado con información falsa diseñado para observar las acciones de los atacantes.
ShinyHunters publicó en Telegram capturas de pantalla que supuestamente confirman el ataque exitoso. Según ellos, el grupo obtuvo datos de empleados, mensajes internos, informes sobre ciberamenazas e información sobre clientes. Como prueba presentaron imágenes de la interfaz de Mattermost con conversaciones, entre ellas relacionadas con la moderación de contenido malicioso en Pastebin.
El propio grupo se llama «Scattered Lapsus$ Hunters», refiriéndose a una relación con otros colectivos conocidos — Lapsus$ y Scattered Spider. Afirman que el ataque fue una respuesta a los intentos de Resecurity de estudiar la estructura del grupo mediante ingeniería social.
Desde Resecurity la postura es distinta. Los representantes de la empresa insisten en que los sistemas comprometidos no estaban relacionados con la infraestructura principal. Según el informe publicado el 24 de diciembre, la actividad sospechosa se detectó ya en noviembre. El equipo de la empresa identificó signos de reconocimiento por parte de una fuente externa y registró direcciones IP vinculadas a Egipto y al servicio de VPN Mullvad.
En respuesta a la amenaza potencial, los especialistas de Resecurity desplegaron un entorno aislado con datos falsos, en el que se integró deliberadamente una cuenta con acceso para el atacante observado.
El sistema contenía registros falsos, incluidos más de 28.000 perfiles de usuario ficticios y más de 190.000 transacciones formateadas conforme a la API de Stripe. El objetivo de esa trampa era obtener información sobre el comportamiento del atacante, sus métodos y sus herramientas.
En diciembre Resecurity detectó un intento masivo y automatizado de extracción de información, cuando el atacante, usando redes de proxies, inició casi 190.000 solicitudes. Durante el ataque, algunas direcciones IP reales se volvieron visibles temporalmente debido a fallos en la conexión. Esos datos fueron entregados a las autoridades.
Posteriormente se añadieron nuevos datos falsos a la trampa para continuar analizando el comportamiento del atacante. Esto provocó nuevos errores por su parte, lo que permitió acotar la búsqueda de su infraestructura. También se lograron identificar servidores utilizados para automatizar el ataque. Según la empresa, uno de los socios internacionales de las fuerzas del orden incluso inició una solicitud de extradición basándose en los datos obtenidos.
Al momento de la publicación, ShinyHunters no presentó pruebas adicionales, pero prometió hacer pública nueva información en breve.