Los investigadores de ciberseguridad han vinculado una nueva ronda de ciberataques dirigidos a los servicios financieros con el famoso grupo de ciberdelincuencia conocido como Araña dispersa , lo que pone en duda sus afirmaciones de que se han quedado «a oscuras».
La firma de inteligencia de amenazas ReliaQuest dijo que ha observado indicios de que el actor de amenazas ha cambiado su enfoque hacia el sector financiero. Esto se ve respaldado por el aumento del número de dominios similares que podrían estar vinculados al grupo y que están orientados al sector vertical del sector, así como por una intrusión dirigida recientemente identificada contra una organización bancaria estadounidense anónima.
«Scattered Spider obtuvo el acceso inicial mediante la ingeniería social de la cuenta de un ejecutivo y el restablecimiento de su contraseña mediante la administración de contraseñas de autoservicio de Azure Active Directory», dijo la empresa dijo .
«Desde allí, accedieron a documentos confidenciales de TI y seguridad, se movieron lateralmente por el entorno Citrix y la VPN y comprometieron la infraestructura ESXi de VMware para volcar las credenciales e infiltrarse aún más en la red».
Para lograr la escalada de privilegios, los atacantes restablecieron la contraseña de una cuenta de servicio de Veeam, asignaron permisos de administrador global de Azure y reubicaron las máquinas virtuales para evitar ser detectados. También hay indicios de que Scattered Spider intentó filtrar datos de Snowflake, Amazon Web Services (AWS) y otros repositorios.
¿Salida o cortina de humo?
La actividad reciente socava la reclamaciones que eran cese de operaciones junto con otros 14 grupos delictivos, como LAPSUS$. Scattered Spider es el apodo asignado a un colectivo de hackers muy unido que forma parte de una entidad en línea más amplia llamada The Com.
El grupo también comparte un alto grado de superposición con otros equipos de ciberdelincuencia, como ShinyHunters y LAPSUS$, tanto es así que los tres grupos formó una entidad global llamada «cazadores dispersos de LAPSUS$».
Uno de estos grupos, en particular ShinyHunters, también ha participado en actividades de extorsión tras extraer datos confidenciales de las instancias de Salesforce de las víctimas. En estos casos, la actividad se llevó a cabo meses después de que otro grupo de hackers con motivaciones financieras pusiera en peligro los objetivos perseguidos por Mandiant, propiedad de Google, como UNC6040 .
El incidente es un recordatorio para no dejarse llevar por una falsa sensación de seguridad, agregó ReliaQuest, instando a las organizaciones a mantenerse vigilantes contra la amenaza. Al igual que en el caso de los grupos de ransomware, la jubilación no existe, ya que es muy posible que en el futuro se reagrupen o cambien su nombre con un alias diferente.
«La reciente afirmación de que Scattered Spider se retira debe tomarse con un grado significativo de escepticismo», afirma Karl Sigler, director de investigación de seguridad de SpiderLabs Threat Intelligence en Trustwave. «Más que una verdadera disolución, este anuncio probablemente sea una señal de un movimiento estratégico para alejar al grupo de la creciente presión policial».
Sigler también señaló que la carta de despedida debe considerarse como una retirada estratégica, que permita al grupo reevaluar sus prácticas, perfeccionar su oficio y evadir los esfuerzos en curso por poner fin a sus actividades, sin mencionar que complica los esfuerzos de atribución al dificultar la vinculación de los incidentes futuros con los mismos actores principales.
«Es posible que algo de la infraestructura operativa del grupo se haya visto comprometido. Ya sea por la violación de un sistema, por la exposición de un canal de comunicación o por la detención de filiales de nivel inferior, es probable que algo haya provocado que el grupo deje de funcionar, al menos temporalmente. Históricamente, cuando los grupos de ciberdelincuentes se enfrentan a un mayor escrutinio o sufren interrupciones internas, a menudo se «retiran» solo de nombre y optan por hacer una pausa, reagruparse y, finalmente, resurgir con una nueva identidad».