Scattered Spider: lo que necesita saber

Scattered Spider es el nombre que CrowdStrike le puso a un grupo de delincuentes informáticos poco conectado cuya membresía es transitoria y no está definida con precisión. Otros proveedores rastrean a este grupo de atacantes como UNC3944, Storm-0875, LUCR-3 y otras designaciones.  

Las motivaciones del grupo habitualmente son financieras, y sus blancos se encuentran en una amplia gama de industrias y países. Sus víctimas suelen pertenecer a naciones occidentales como Estados Unidos, Canadá, Reino Unido y Suiza, pero también se sabe que atacan en naciones del este de Asia como Tailandia y a entidades sudamericanas dentro de Brasil. 

Scattered Spider es un grupo activo desde 2022 y generalmente monetiza sus ataques a través del ransomware y la extorsión por robo de datos, con un enfoque en objetivos de alto perfil como empresas Fortune 500 en industrias como tecnología, servicios financieros, venta minorista, el sector aeroespacial y más. 

Actividad reciente de Scattered Spider 

Titulares recientes atribuyen al grupo ataques a gran escala contra objetivos prominentes, incluidos Transport for London, Caesars, MGM Resorts, DoorDash, CloudFlare, Marks & Spencers, Harrods y Co-op.  

Con el aumento de la frecuencia de sus ataques, es crucial entender cómo suelen acceder a una organización y cómo actúan una vez dentro de una red. 

Los blancos del grupo tienden a cambiar con el tiempo y en la actualidad parece que su principal víctima es el comercio minorista, pero el mes que viene, su enfoque podría cambiar. Es importante que todas las empresas comprendan que podrían convertirse en blancos de este grupo en cualquier momento, especialmente las organizaciones más grandes con presencia global.  

Técnicas y procedimientos habituales 

Scattered Spider tiende a utilizar ingeniería social avanzada y engaño para obtener acceso inicial a una organización, a menudo mediante SMS (smishing) o llamadas de voz (vishing). También se sabe que llaman a números de soporte técnico externos en un intento de restablecer las contraseñas o los números de autenticación multifactor (MFA) de usuarios incautos, lo que otorga al grupo acceso a las cuentas. 

Sus actividades tienden a culminar en el robo masivo de datos y ransomware, lo que lleva a una doble extorsión de las víctimas, obligándolas a pagar para descifrar los datos y para no divulgar los datos robados. Los métodos que han utilizado incluyen: 

• Suplantación de identidad con el soporte técnico: el grupo utiliza ingeniería social para convencer al soporte técnico de ayudar a restablecer contraseñas y el material de MFA de los administradores objetivo u otras cuentas con privilegios. 

• Duplicación de SIM para obtener acceso inicial a las identidades. 

• Doble extorsión para monetizar la penetración con el cifrado de datos y la amenaza de divulgarlos. 

• Vulneración de Active Directory: se sabe que extrae NTDS.dit de los controladores de dominio, la principal base de datos que contiene credenciales de Active Directory. 

• Suplantación de credenciales: utiliza imitaciones de dominios para engañar a las víctimas para que introduzcan sus credenciales; estos a menudo contienen términos como okta, sso, help, corp, internal, sso, etc. 

• Movimiento lateral: se sabe que abusan de RDP, SSH, PsExec y tareas programadas para moverse entre sistemas dentro de una red. 

• Persistencia a través de herramientas RMM: Abusa de las plataformas de supervisión y gestión remotas como AnyDesk para mantener el acceso 

• Extracción de credenciales: con herramientas como Mimikatz, secretsdump.py y DCSync. 

• Implementación de ransomware: está comprobado que usa la variante DragonForce Ransomware-as-a-Service (RaaS) para ejecutar ataques. 

Recomendaciones defensivas 

El laboratorio de amenazas de Varonis recomienda las siguientes medidas defensivas para proteger los datos de amenazas como Scattered Spider:  

• Refuerce los protocolos del servicio de asistencia: implemente procedimientos de verificación de identidad para prevenir ataques de ingeniería social 

• Implemente MFA resistente al phishing: use coincidencia numérica o tokens de hardware en lugar de notificaciones push básicas para todos los puntos de acceso remoto. 

• Asegure la cobertura de los endpoints: mantenga una cobertura del 100 % con herramientas de detección y respuesta de endpoints (EDR) bien configuradas y una supervisión activa de alertas. 

• Filtrar el tráfico web: Utilice proxies web para bloquear el acceso a dominios sospechosos o maliciosos 

• Monitoree los repositorios de datos críticos: utilice herramientas como Varonis para detectar patrones de acceso inusuales que puedan indicar una vulneración en curso. 

• Realice ejercicios de equipo rojo: pruebe regularmente las defensas contra ataques simulados, especialmente los que están dirigidos a Active Directory. 

• Restrinja el acceso a Internet del servidor: aplique reglas de denegación predeterminadas y permita solo una lista de autorización de dominios e IP esenciales a nivel de firewall. 

• Mantenga los sistemas actualizados: asegúrese de que todos los sistemas operativos y aplicaciones estén parcheados y al día. 

• Mantenga copias de seguridad seguras: almacene las copias de seguridad fuera de línea y pruébelas regularmente para garantizar la capacidad de recuperación en caso de un ataque 

No espere a que se produzca una vulneración.

Scattered Spider es único porque sus jerarquías no están bien definidas y es difícil atribuir asociaciones en comparación con otros actores de amenazas.  

Como siempre, las medidas defensivas clave se centran en la supervisión, las copias de seguridad y la implementación de procedimientos comunes de mejores prácticas en toda la red de su organización.  

Si necesita asistencia inmediata o cree que su organización se vio afectada por amenazas como Scattered Spider, comuníquese con nuestro equipo.