El 4 de marzo, Samsung fue víctima de Lapsus$, unos ciberatacantes que propiciaron un ransomware a la gigante de tecnología surcoreana.
No obstante, Lapsus$ lleva un tiempo convulsionando las redes con sus constantes hackeos a otros sistemas. Además de Samsung, utilizaron a Nvidia, MercadoLibre, Ubisoft y Microsoft.
Este grupo emplea Telegram para informar de sus acciones. Desde el 2020 no había novedades de ellos. Lo más reciente que los trajo de vuelta a todos los medios fue su intromisión en el sistema de Nvidia, la empresa más grande dedicada a la fabricación de microchips en USA.
Lograron afectar su sistema por dos días, tomaron más de 70.000 credenciales de los empleados y el código de desarrollos recientes, tomando en cuenta que también trabajan con tarjetas gráficas para videojuegos. Su amenaza fue liberar el código fuente de los controladores si se negaban a sus peticiones, las cuales eran, además de dinero, el retiro de una función de los modelos más recientes de tarjetas.
Hasta ahora, la información que han recaudado sobre Lapsus$ es que provienen de un lugar con idioma portugués, dejando como base de operaciones a Brasil o directamente Portugal. Por uno de sus primeros ataques del 2022, en enero, para ser precisos, piratearon el medio Impresa, compartiendo incluso en la cuenta de Twitter del periódico “Lapsus$ es el nuevo presidente de Portugal”.
Otros ataques en el mismo país Europeo fueron a Claro y el Ministerio de Sanidad, causando inconvenientes a certificados de vacunación. Esto apareció como consecuencia de las medidas gubernamentales para la entrada y salida del país por COVID-19.
Otro dato importante es que en su canal de Telegram poseen 44.000 seguidores. Luego del ataque a Microsoft, compartían que este grupo no borra sus huellas; quieren ser reconocidos. «Anuncian sus ataques en redes sociales e incluso anuncian sus intentos de comprar contraseñas de empleados en las empresas a las que pretenden atacar”. Información recaudada por 20 minutos.
¿Cómo sucedió el hackeo a Samsung?
Samsung sufrió filtración de información; un total de 190 GB del código fuente interno de los dispositivos, entre otras funciones.
Su estrategia fue hacer pública una imagen con una parte del código obtenido. Se estima que este mismo fue enviado a varios directivos del departamento de software de Samsung, para que fuera más sencillo solicitar un rescate.
Específicamente fue un código fuente del bootloader de todos los móviles de Samsung, más los códigos del algoritmo de cifrado para la autenticación biométrica y el cifrado de algunas funciones de seguridad. Para el momento no estaba confirmado, pero también estimaban que habían tomado el control de información confidencial de Qualcomm y diversos repositorios enlazados con Bixby y Smarthings.
Lo más sorprendente es que toda está información es posible adquirirla a través de Torrent. El 4 de marzo, Bleeping computer anunciaba «la pandilla de extorsión se burló de la publicación de datos de Samsung con una instantánea de las directivas C/C++ en el software de Samsung.».
Esto fue parte de los datos que le robaron a Samsung
Los daños estimados que Lapsus$ tomó de Samsung, lo cual trae consecuencias muy graves para la compañía, son los siguientes:
- Código fuente para cada Trusted Applet (TA) instalado en el entorno TrustZone de Samsung utilizado para operaciones confidenciales (por ejemplo, criptografía de hardware, encriptación binaria, control de acceso)
- Algoritmos para todas las operaciones de desbloqueo biométrico
- Código fuente del gestor de arranque para todos los dispositivos Samsung recientes
- Código fuente confidencial de Qualcomm
- Código fuente para los servidores de activación de Samsung
- Código fuente completo de la tecnología utilizada para autorizar y autenticar las cuentas de Samsung, incluidas las API y los servicios
Para el 7 de marzo, Samsung confirmaba el robo del código fuente de los dispositivos Galaxy. En sus declaraciones: “Según nuestro análisis inicial, la infracción involucra algún código fuente relacionado con el funcionamiento de los dispositivos Galaxy, pero no incluye la información personal de nuestros consumidores o empleados”.
Sin embargo, el representante de Samsung no anunció si los intrusos hicieron alguna demanda antes de filtrar la información, como había sucedido en el caso de la filtración de Nvidia. El caché filtrado de Samsung es mucho más grande y supuestamente incluye detalles sobre el Trusted Applet de la compañía en el entorno TrustZone de Samsung, responsable de tareas confidenciales como la criptografía de hardware, el cifrado binario y el control de acceso.
Los piratas informáticos también afirman que el volcado incluye el código fuente de Knox, el marco de administración y seguridad patentado de Samsung presente en la mayoría de sus dispositivos.
Un caso muy delicado que mantendrá en expectativa a todo el mundo. Sin embargo, tomar las medidas necesarias para proteger los sistemas es importante, y para eso Eagle Tech Corp trabaja para usted. Consulte nuestras redes para ofrecerles más detalles.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp