Uno de los grupos de ransomware más peligrosos del mundo ha aplicado su sofisticada ingeniería social característica a sofisticados ataques de phishing dirigidos a compañías financieras y de seguros, robando privilegios avanzados sobre entornos basados en la nube y… El objetivo es, en última instancia, distribuir ransomware.
Scattered Spider utiliza ataques de phishing por SMS y phishing por voz (smishing y vishing, respectivamente) para apuntar a cuentas con altos privilegios, como administradores de la mesa de servicio de TI y equipos de seguridad cibernética. Según los investigadores de EclecticIQ, los atacantes utilizan credenciales robadas para comprometer los servicios basados en la nube y, en última instancia, obtener acceso a los entornos de las víctimas para ataques de ransomware.
“Scattered Spiders se dirige principalmente a los servicios de TI y a los administradores de identidad, y a menudo utilizan técnicas de ingeniería social basadas en teléfonos para engañar y manipular a sus objetivos”, dijo Arda, analista de inteligencia de amenazas de EclecticIQ en un análisis reciente. “Para ganar confianza y acceso, los atacantes a menudo se hacen pasar por empleados, manipulan la configuración de MFA y dirigen a las víctimas a portales de inicio de sesión falsos”.
Los ataques son muy sofisticados y a menudo involucran a administradores de identidad desprevenidos responsables de la infraestructura de la nube que ingresan sus credenciales para VMware Workspace ONE, una plataforma de políticas de acceso a identidades y administración de aplicaciones. Büyükkaya dijo que los atacantes también podrán obtener acceso no autorizado a cuentas protegidas por múltiples factores. autenticación (MFA).
Los servicios en la nube y SaaS son el objetivo
Otras formas en que Scattered Spiders obtienen acceso persistente a entornos de nube incluyen la compra de credenciales robadas, la realización de intercambios de SIM y el uso de herramientas nativas de la nube. De hecho, Büyükkaya señala que este grupo de amenazas está aprovechando características legítimas de la infraestructura de la nube para realizar actividades maliciosas, lo que hace que su actividad sea cada vez más difícil de detectar y contrarrestar.
“Los grupos de ciberdelincuentes están explotando herramientas legítimas en la nube, como consolas de administración especiales de Azure y fábricas de datos, para ejecutar comandos de forma remota, transferir datos y mantener la persistencia mientras evitan la detección”, escribe.
Los ataques observados por EclecticIQ se dirigieron a servicios basados en la nube como Microsoft Entra ID y Amazon Web Services Elastic Computer Cloud, así como a plataformas SaaS (Software as a Service) como Okta, ServiceNow, Zendesk y VMware Workspace ONE. una página de phishing que imitaba fielmente un portal de inicio de sesión (SSO)”, escribió Büyükkaya. Estas páginas se entregan mediante ataques de ingeniería social tan convincentes que pueden engañar incluso a los ingenieros de seguridad de la nube.
Implementación de una red de ataque compleja
Scattered Spider (también conocido como Octo Tempest) rápidamente se ha hecho un nombre en la industria del ransomware. Este grupo surgió en 2022 con sofisticadas técnicas de ingeniería social, capacidad para comprender las mentes empresariales occidentales y dominio nativo del inglés. Todos estos fueron utilizados como armas poderosas. Aproximadamente un año después, el grupo ganó notoriedad por sus ataques de ransomware a gran escala contra el Caesars Palace y MGM Entertainment.
Scattered Spider estaba inicialmente afiliado al ransomware BlackCat/Alphv, pero después de que la repentina desaparición de BlackCat/Alphv en marzo dejó a sus afiliados en problemas, Scattered Spider también se unió al ransomware de RansomHub y Qilin a principios de este año.
Las arañas dispersas han sido perseguidas recientemente por organismos encargados de hacer cumplir la ley en todo el mundo, incluido el FBI, y en julio las autoridades británicas arrestaron a un joven de 17 años de Walsall, Inglaterra, por sus vínculos con el grupo.
Los ataques descritos por EclecticIQ son el resultado de un análisis realizado entre 2023 y el segundo trimestre de 2024, por lo que aún no está claro qué tan activo ha estado Scattered Spider desde su arresto. Sin embargo, los investigadores señalan que esta investigación revela una nueva y compleja red de ataques que el grupo puede implementar para atacar entornos de nube utilizando el compromiso de identidad.
protección y mitigación
EclecticIQ ha desarrollado un marco específico que describe el ciclo de vida de implementación del ransomware. Ayuda a los defensores a frustrar los ataques al detallar las técnicas que utilizan los actores de amenazas para infiltrarse, persistir y ejecutar ransomware dentro de entornos de nube. Según Büyükkaya, la facilidad de acceso a la nube la convierte en un objetivo principal para los delincuentes con motivaciones financieras y es el secreto del éxito de Scattered Spider y otros actores del ransomware.
La empresa proporciona servicios preventivos relacionados, entre otros, con autenticación segura, monitoreo y alertas, seguridad de recursos en la nube del hipervisor, seguridad de red y firewall, y otros aspectos críticos y diversos que conforman un entorno de nube empresarial. organizaciones con respecto a la detección y respuesta a incidentes.
Otras recomendaciones se centran específicamente en la tendencia de Scattered Spiders a utilizar el phishing como método principal de acceso inicial, y aconsejan a las organizaciones que supervisen periódicamente los dominios tipográficos. Esto incluye los dominios legítimos de su organización, especialmente aquellos dirigidos a su entorno de nube.
“Proteja proactivamente estos dominios para prevenir ataques de phishing y tácticas de ingeniería social”, aconsejó Buyukkaya.
