El grupo Scattered Spider ahora utiliza ransomware BlackCat

Considerado uno de los grupos cibercriminales financieros más peligrosos, ha ampliado sus organizaciones objetivo y sus técnicas de ataque.

Anahí Di Santo.

Periodista.

Guardar

La banda Scattered Spider también se hace llamar Octo, 0ktapus, Scatter Swine y UNC3944.
La banda Scattered Spider también se hace llamar Octo, 0ktapus, Scatter Swine y UNC3944.

La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos han emitido un aviso en el que advierten a las organizaciones de todo el mundo que sigan las mejores prácticas de ciberseguridad para evitar caer en las redes de esta banda de hackers con motivación financiera conocido como Scattered Spider, pero que también utiliza otros nombres como Octo, 0ktapus, Scatter Swine y UNC3944.

Scattered Spider ("araña dispersa") ha actualizado recientemente sus tácticas, técnicas y procedimientos (TTP) para infiltrarse en los objetivos. Generalmente se dedica al robo de datos, utilizando técnicas de ingeniería social, phishing por SMS e intercambio de SIM. Sin embargo, en los últimos ataques que se registraron, se observó la incorporación del ransomware BlackCat para expandir sus formas de extorsión.

Sus blancos son proveedores de telecomunicaciones móviles, organizaciones de subcontratación de procesos comerciales, proveedores de servicios tecnológicos y de correo electrónico, juegos, hoteles, comercio minorista, manufactura y sectores financieros.

Una regularidad de este grupo es que apunta al personal de soporte y asistencia técnica para obtener acceso inicial a cuentas privilegiadas. Otra táctica que utilizan es hacerse pasar por empleados recién contratados en empresas objetivo como una estrategia para mezclarse con los procesos normales de contratación y las cuentas de adquisición y las organizaciones de violación en todo el mundo.

También se ha detectado que Scattered Spider compra credenciales de empleados y tokens de sesión en mercados clandestinos o engaña a los usuarios para que instalen utilidades de administración y monitoreo remoto (RMM).

Para obtener permisos elevados e infiltrarse en redes corporativas se dirigen al sistema Okta, una plataforma de gestión de identidades y herramientas de seguridad que las empresas utilizan para controlar centralizadamente los accesos a aplicaciones y servicios. En la etapa final, los atacantes despliegan una amplia gama de malware, que incluye AveMaria, Raccoon Stealer y Vidar Stealer.

En sus comienzos, el grupo atacaba principalmente a proveedores de telecomunicaciones móviles y organizaciones de subcontratación de procesos comerciales para realizar intercambios de SIM. Luego han ampliado sus objetivos a proveedores de servicios tecnológicos y de correo electrónico, juegos, hotelería, comercio minorista, manufactura y sectores financieros. En septiembre de este año, dos ataques de alto perfil contra MGM Casino y Caesars Entertainment, se atribuyeron a Scattered Spider.

Scattered Spider ha recurrido a tácticas para infundir miedo a través de llamadas telefónicas y mensajes de texto, junto con amenazas físicas para obligar a las víctimas a compartir credenciales para el acceso corporativo.

Microsoft ha descrito a esta banda como un colectivo motivado financieramente de actores de amenazas nativos de habla inglesa, y lo ha calificado como “uno de los grupos criminales financieros más peligrosos”, cuyo objetivo final varía entre el robo de criptomonedas y la exfiltración de datos para extorsión y despliegue de ransomware.

En ocasiones, ha recurrido a “tácticas para infundir miedo, dirigiéndose a personas específicas a través de llamadas telefónicas y mensajes de texto. Estos actores utilizan información personal, como domicilios y apellidos, junto con amenazas físicas para obligar a las víctimas a compartir credenciales para el acceso corporativo", explican los especialistas de Microsoft.

Para reducir la probabilidad y el impacto de los ciberataques de Scatter Spider, las agencias norteamericanas FBI y CISA han aconsejado a las organizaciones que sigan las mejores prácticas de ciberseguridad. Algunas de las acciones recomendadas incluyen el uso de aplicaciones incluidas en la lista blanca para administrar la ejecución de software, proteger el uso de Protocolos de Escritorio Remoto con las mejores prácticas y usar herramientas EDR (detección y respuesta del punto final) para monitorear los puntos finales y detectar actividades anormales.