Dos organizaciones criminales prominentes, Scattered Spider y BlackCat/ALPHV, parecieron desvanecerse en la oscuridad, al igual que sus homónimas, después de una serie de llamativos atracos digitales el año pasado, seguidos de arrestos e incautaciones de sitios web Ta.
Sin embargo, en los últimos meses, ambos han resurgido, con nuevas intrusiones reportadas y potencialmente cambios de marca.
En octubre, la empresa de seguridad ReliaQuest respondió a una intrusión digital en una empresa de fabricación y anunció que tenía “gran confianza” en que Scattered Spider era el responsable.
A pesar de los mejores esfuerzos de las fuerzas del orden, incluido el arresto de un ciudadano británico de 22 años que se cree que es el capo de la pandilla en junio y de un hombre de Florida de 19 años en enero, esto demuestra que hay un grupo de personas de veintitantos años que son menos cohesivas. Los hombres no han desaparecido.
La intrusión en la fabricación comenzó con dos ataques de ingeniería social contra el servicio de asistencia técnica de la víctima. La ingeniería social es el método de infiltración preferido de la pandilla, y rindió dividendos para el grupo nativo de habla inglesa detrás de los ataques masivos de intercambio de SIM del año pasado contra Okta y el atraco digital al casino de Las Vegas.
Seis horas después de llamar al servicio de asistencia técnica, los malhechores supuestamente comenzaron a cifrar los sistemas de la organización.
¿Alguien quiere un nuevo dispositivo de cifrado?
Pero esta vez utilizamos el dispositivo de cifrado RansomHub para bloquear el entorno. Esto es notable porque este grupo estuvo anteriormente afiliado al equipo BlackCat/ALPHV. El grupo también se disolvió después de cobrar un rescate de 22 millones de dólares y realizar una estafa de salida en el ataque Change Healthcare.
“Este incidente muestra que a pesar de los arrestos de este año, los miembros de The.com todavía están atacando activamente a la organización”, dijo Hayden Evans, analista de inteligencia de amenazas cibernéticas en ReliaQuest, dijo al Register.
Se cree que Scattered Spider es parte de una gran comunidad de ciberdelincuentes conocida como “The Com”.
“Esta persistencia, probablemente debido a la naturaleza descentralizada del grupo, indica que estos ataques continuarán aprovechándose de las organizaciones vulnerables a menos que haya una interrupción significativa en la aplicación de la ley”, continuó Evans, y agregó que las organizaciones deben implementar políticas de asistencia técnica “rigurosas”. y controles técnicos. Protege contra ataques de arañas dispersas.
Además de utilizar el malware RansomHub en lugar de BlackCat, la pandilla también ha adoptado otras tácticas nuevas que los defensores deben conocer.
“Gran parte de la ingeniería social para el acceso temprano y los eventos de descubrimiento de SharePoint se han asociado con este grupo en el pasado”, dijo Evans. “Sin embargo, algunos de los nuevos eventos incluyen evasión de defensa más avanzada y nuevas técnicas de Microsoft Teams nunca antes vistas”.
Scattered Spider usó ambos en un ataque al que ReliaQuest respondió el mes pasado.
Primero, la pandilla utilizó el entorno ESXi de la organización para crear máquinas virtuales, mantener la persistencia y moverse lateralmente dentro del entorno, desechando credenciales y robando datos. También disfrazaron las actividades del delincuente y ocultaron el ataque hasta que se bloqueó el sistema de la víctima.
Luego exigió un rescate a través de Mensajes de Microsoft Teams.
Buscando: personas que hablan inglés
Scattered Spider y otros grupos que utilizan cada vez más tácticas de ingeniería social están considerando gradualmente contratar hablantes nativos de inglés para roles de “llamadores” profesionales, según se dice que lo están haciendo.
Durante un ataque, “la persona que llama puede estar compartiendo una pantalla con alguien que puede estar en otra ubicación, y la persona que llama está ejecutando un script de soporte técnico de TI para extraer credenciales. Durante este tiempo, las personas que tenían más conocimientos tecnológicos en su actividad criminal Las actividades pudieron robar y cifrar los datos de sus víctimas'', dijo Richardson a The Register.
En un incidente al que respondió el equipo de Richardson, un empleado recibió una llamada inmediatamente después de ver un mensaje de texto advirtiendo sobre actividad fraudulenta en una cuenta de la empresa (lo cual no era cierto) y que la cuenta estaba bloqueada (esto tampoco era cierto). ).
Después de una llamada de 30 minutos en la que el empleado no cayó en el ataque de ingeniería social, el perpetrador “felicita” al empleado por pasar la “prueba de ingeniería social” con la esperanza de que el empleado ni siquiera piense en denunciarlo. . Actividad sospechosa.
Los atacantes inician sesión en lugar de piratear
“La mayoría de estas campañas comienzan con envíos de SMS o llamadas telefónicas a grupos”, dijo Richardson. “Están lanzando ataques a los dispositivos móviles de los empleados e intentando entrar por la puerta”.
Y todavía se apegan al viejo clásico: inician sesión, no ingresan.
“La principal conclusión para los defensores es que la sensación sigue siendo que los atacantes inician sesión, no piratean”, dijo Evans. “Básicamente, los atacantes hacen cosas como obtener credenciales de los registros de filtración de información o, como en este caso, apuntar a la mesa de ayuda para restablecer las credenciales y eludir la MFA. Apuntar a una ruta que tenga mayores posibilidades de éxito”.
El vicepresidente de Lookout, David Richardson, estuvo de acuerdo y señaló que la mayoría de los afiliados de Scattered Spider inician sesión a través de medios legítimos.
“La gente necesita saber que este tipo de ataques están sucediendo y que el hecho de que un estadounidense llame o reciba un mensaje de texto no significa que sea legal”, dijo al Register. “Como buen empleado, debes ver esto a través de múltiples canales”.
Richardson sugiere contactar a la persona que inició la comunicación a través de su herramienta de chat interno y verificar si esa persona existe en el organigrama de su empresa.
Nueve vidas de BlackCat
En diciembre de 2023, una operación dirigida por el FBI se hizo cargo del sitio web de BlackCat/ALPHV, interrumpió la presencia de la pandilla en la web oscura y lanzó herramientas de descifrado.
Es sabido que esto no logró detener la infección del ransomware Change Healthcare, lo que provocó que los delincuentes regresaran con venganza unos meses después. La infección de ransomware Change Healthcare paralizó las farmacias estadounidenses y comprometió la información confidencial de aproximadamente 100 millones de personas, lo que la convirtió en la mayor filtración de datos sanitarios en la historia de Estados Unidos.
Luego, después de que el director ejecutivo de la empresa matriz United Health tomara la difícil decisión de pagar a los extorsionadores, Black Cat desapareció.
Las conversaciones de la web oscura durante los próximos meses sugieren que algunos afiliados se han unido a RansomHub.
Y en septiembre, los investigadores comenzaron a notar “similitudes sorprendentes” entre el ransomware BlackCat y Cicada3301. El ransomware Cicada3301 se ha cobrado al menos 39 víctimas desde que fue descubierto en junio.
Además de estar escrito en Rust, como BlackCat, el malware de Cicada comparte muchas similitudes con otros códigos de eliminación y cifrado de datos y ha sido detallado por la empresa israelí de seguridad de terminales Morphisec.
El mes pasado, los cazadores de amenazas de Group-IB revelaron que habían comprometido con éxito el panel de afiliados del ransomware Cicada3301. El grupo de ransomware se dirige principalmente a empresas de EE. UU. y el Reino Unido, y publica datos robados de 24 de ellas entre junio y octubre.
Según Sharmine Low, analista de malware de Group-IB, una inmersión profunda en la estructura interna del grupo y las variantes de ransomware también confirmó vínculos con BlackCat y Cicada.
“Existen similitudes significativas entre estos dos programas de software”, dijo Low a The Register. “En particular, estos usan comandos idénticos para inhibir la recuperación del sistema, apagar máquinas virtuales y eliminar procesos para que se ejecuten mejor”. Ambos contienen un ejecutable PsExec legítimo integrado en la variante de Windows, pero la convención de nomenclatura difiere en una palabra: – (extensión_encriptada)-DATA.txt. BlackCat usa RECOVER-(extensión_encriptada)-FILES.txt.
Al momento de escribir este artículo, Cicada había publicado nuevas víctimas en el sitio de la filtración el 24 de octubre.
“No bajes la guardia.”
“Lo importante es no bajar la guardia”, dijo a The Register Jamie Moles, director técnico senior de ExtraHop. “El simple hecho es que las bandas de ransomware han estado con nosotros durante algún tiempo y el gran problema que tenemos es que la tecnología y la geografía les han hecho la vida más fácil y les han brindado una tremenda protección”.
Específicamente, con el auge de las criptomonedas, su naturaleza descentralizada y descentralizada hace que sea mucho más fácil para los grupos criminales ocultar el rastro de sus fondos, lo que dificulta que las fuerzas del orden los rastreen.
Además, Morse dijo: “Geográficamente, la mayoría de los grandes operadores de ransomware en la industria operan desde lo que llamaríamos el eje moderno del mal: Corea del Norte, China y Rusia/Ucrania”. . “
Advirtió que “cualquiera que sea un objetivo potencial” debería prestar atención al resurgimiento de estas bandas de ransomware y de otros grupos emergentes.
Morse sugirió que la primera pregunta que las empresas deberían hacerse cuando se trata de proteger sus entornos de TI es: “Si tuviera un presupuesto ilimitado, ¿cómo me protegería?”. “Empiece por ahí y avance hasta llegar a donde se ajuste su presupuesto real”.
Vale la pena señalar que la mayoría de las infracciones llegan por correo electrónico. Moles sitúa el porcentaje en 95-98. “Por lo tanto, se necesita el mejor filtrado de correo electrónico posible”, opinó.
“También debemos brindar la mejor capacitación a nuestros usuarios para asegurarnos de que comprendan las amenazas y los riesgos”, dijo Moles, y agregó que las organizaciones deben poder capturar códigos maliciosos que se ejecutan en los puntos finales. Añadió que la seguridad de los puntos finales también es un factor clave. , ya que da la oportunidad de: También monitorea el tráfico de la red para rastrear actividades sospechosas en su red.
“Estos operadores de ransomware son de naturaleza oportunista, ya sea Scattered Spider a través de RansomHub o este nuevo grupo de ransomware Cicada”, dijo Evans. “En la mayoría de los casos, las tácticas de estos grupos se superponen. Es fundamental que los defensores identifiquen los TTP comunes y las herramientas comunes de estos grupos para la detección y mitigación”.
https://packetstormsecurity.com/news/view/36572/Scattered-Spider-BlackCat-Claw-Their-Way-Back-From-The-Undergound.html
