Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

Hackers dispersaron a cazadores de LAPSUS$: acceso no autorizado a Google LERS

Redazione RHC : 17 septiembre 2025 06:56

Los ejecutivos de Google afirmaron que los piratas informáticos crearon una cuenta falsa en el Sistema de Solicitudes para el Cumplimiento de la Ley (LERS, por sus siglas en inglés), la plataforma de la compañía utilizada por las agencias del orden público para enviar solicitudes de datos oficiales.

A finales de la semana pasada, miembros de los grupos de hackers Scattered Spider, LAPSUS$ y Shiny Hunters (que afirman haberse fusionado y ahora se autodenominan Scattered LAPSUS$ Hunters) anunciaron en Telegram que habían obtenido acceso tanto al portal LERS de Google como al sistema de verificación de antecedentes eCheck del FBI.

LERS y eCheck son utilizados por agencias policiales y de inteligencia de todo el mundo para transmitir citaciones y órdenes, así como solicitudes urgentes de divulgación de información. El acceso no autorizado a estos sistemas ha permitido a atacantes suplantar la identidad de agentes del orden y acceder a datos confidenciales de los usuarios.

«Hemos determinado que se creó una cuenta fraudulenta en nuestro sistema de solicitudes de las fuerzas del orden y la hemos desactivado», declaró un portavoz de Google a la prensa. «No se realizaron solicitudes a través de esta cuenta fraudulenta. No se accedió a ningún dato.»

El FBI se negó a hacer comentarios sobre las declaraciones de los autores.

Cabe destacar que los hackers publicaron capturas de pantalla del acceso que supuestamente obtuvieron poco después de anunciar su intención de «ocultarse».

Recordemos que a principios de este año, el colectivo Cazadores Dispersos de LAPSUS$ atrajo mucha atención tras los ataques a gran escala a Salesforce.

Inicialmente, los atacantes emplearon ingeniería social para engañar a los empleados y lograr que conectaran la herramienta Data Loader a las instancias corporativas de Salesforce, lo que posteriormente se utilizó para robar datos y extorsionar.

Posteriormente, los atacantes comprometieron el repositorio de GitHub de Salesloft y utilizaron Trufflehog para descubrir secretos en el código fuente privado. Esto les permitió encontrar tokens de autenticación para Salesloft Drift, que se utilizaron para lanzar nuevos ataques y el consiguiente robo masivo de datos de Salesforce.

El hecho es que los especialistas de Google Threat Intelligence (Mandiant) fueron los primeros en percatarse de lo que estaba sucediendo, llamaron la atención sobre los ataques a Salesforce y Salesloft, y alertaron a todos para que reforzaran sus defensas.

Después de eso, los hackers comenzaron a ridiculizar regularmente al FBI, Google, Mandiant y a los investigadores de ciberseguridad en publicaciones. en sus canales de Telegram.

Ahora, los Cazadores de LAPSUS$ Dispersos han publicado un extenso mensaje en un dominio asociado con BreachForums, anunciando el cese de sus operaciones.

«Hemos decidido que, a partir de ahora, nuestra fuerza reside en el silencio», escribieron los atacantes. «Seguirán viendo nuestros nombres en los informes de filtración de datos de docenas de empresas multimillonarias que aún no han admitido el ataque, así como de algunas agencias gubernamentales, incluidas algunas altamente protegidas. Pero eso no significa que sigamos activos.»

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Ya llegó Google CodeMender! Cuando la IA encuentra errores en el código y los corrige ella misma.
Di Redazione RHC - 07/10/2025

Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...

RediShell: un RCE de 13 años con una puntuación de 10 se ha actualizado a Redis
Di Redazione RHC - 07/10/2025

Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...

¡Italia forma parte del mundo Zero Day! ¡Los primeros auxiliares de enfermería italianos son Leonardo y Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....

Alerta de WhatsApp: Nuevo malware se propaga como un virus entre los contactos
Di Redazione RHC - 06/10/2025

Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...

Vulnerabilidad de Oracle E-Business Suite 9.8: se necesitan actualizaciones urgentes
Di Redazione RHC - 05/10/2025

Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...