El domingo 20 de marzo por la mañana, la banda de cibercriminales LAPSUS$ indicó mediante un mensaje público en su cuenta de Telegram, que lograron violar los accesos de los repositorios de Azure DevOps de Microsoft. Adjuntando como evidencia un screenshot de su nueva Azaña. Tiempo después, la publicación fue eliminada.

Imagen: LAPSUS$ vía Telegram
Esta captura de pantalla se muestra un especie de repositorio de Azure DevOps que contiene el código fuente de Cortana y varios proyectos de Bing, llamados «Bing_STC-SV«, «Bing_Test_Agile«, «Bing_UX«, etc. Curiosamente, la banda dejó las iniciales del usuario con el cual lograron iniciar sesión, «IS«, en la captura de pantalla, lo que potencialmente permitió a Microsoft identificar y asegurar la cuenta comprometida.

Imagen: LAPSUS$ vía Telegram
Lamentablemente, el mismo día de su publicación, la banda LAPSUS$ elimino los mensajes con la imagen de evidencia, y reemplazo con otro mensaje que dice «Deleted for now will repost later» o «Eliminado por ahora, lo volveré a publicar más tarde». Para la suerte de los curiosos, cientos de investigadores lograron descargar la imagen y compartirlo en sus redes sociales.

Imagen: CronUp Ciberseguridad
A diferencia de muchos grupos que tienen un esquema de trabajo mediante RaaS (Ransomware-As-A-Services), LAPSUS$ no se especializa en la implementación de ransomware en los dispositivos de sus víctimas, sino que se vale de las vulnerabilidades que pueden llegar a explotar y/o de los accesos que puedan llegar a conseguir (Insiders), siempre apuntando a los repositorios de código fuente de grandes compañías para luego extorsionarlas para no divulgar la información.
LAPSUS$ ha ganado notoriedad en los últimos meses por sus ataques contra NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre y LG.
[Actualización]: El grupo Lapsus$ ha publicado en su cuenta de Telegram un archivo .torrent con el que permite descargar los códigos fuentes de Bing, Bing Maps y Cortana. Eso así, según la banda, el código de Bing Maps se encuentra en un 90%, mientras que Bing y Cortana es de un 45%. Dando una clara señal que Lapsus$ si logró comprometer un servicio de Azure DevOps, el pasado domingo 20 de marzo.

Imagen: CronUp Ciberseguridad
El peso total del leak es de 37.1 GB

Imagen: German Fernández – LinkedIn.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.