Datos Rápidos

• Scattered Spider, un grupo de ciberdelincuencia de alto perfil, se creía retirado a principios de 2024, pero ahora está vinculado a nuevos ataques contra empresas financieras estadounidenses.
• El grupo utiliza la ingeniería social - engañando a empleados - para secuestrar cuentas y penetrar profundamente en las redes.
• En ataques recientes lograron eludir la seguridad restableciendo contraseñas de ejecutivos y escalando privilegios dentro de entornos en la nube y máquinas virtuales.
• Scattered Spider forma parte de una red de colectivos de hackers superpuestos, incluyendo LAPSUS$ y ShinyHunters.
• Expertos advierten que las "jubilaciones" de ciberdelincuentes suelen ser solo una cortina de humo para evadir a las fuerzas del orden.

El Regreso de la Amenaza Fantasma

Imagina una araña fingiendo estar muerta, para luego salir corriendo de las sombras cuando la costa está despejada. Esa es la historia que se desarrolla en los pasillos digitales de los bancos estadounidenses, mientras Scattered Spider - un grupo de hackers infame por intrusiones audaces y de alto perfil - regresa a la escena que afirmó haber dejado atrás.

A principios de este año, Scattered Spider fue noticia con una dramática “despedida”, declarando el fin de sus operaciones junto a otros grupos notorios como LAPSUS$. Pero investigaciones recientes de la firma de ciberseguridad ReliaQuest revelan que probablemente fue una artimaña. Su último objetivo: el sector financiero, donde un aumento de dominios web imitadores y una brecha confirmada en un banco estadounidense señalan una nueva ofensiva.

Dentro del Atraco: Cómo Scattered Spider Teje su Red

Las tácticas de Scattered Spider son tan astutas como técnicas. ¿Su punto de entrada? La ingeniería social - piénsalo como estafas digitales - donde engañan a ejecutivos de empresas para que entreguen el acceso. En un caso reciente, restablecieron la contraseña de un ejecutivo usando Azure Active Directory de Microsoft, colándose por la puerta principal digital. Desde allí, los hackers merodearon por los sistemas internos del banco, moviéndose a través de herramientas de acceso remoto como Citrix y VPNs, y finalmente comprometiendo los servidores virtuales que gestionan gran parte de las operaciones del banco.

Para mantener el control y evitar la detección, Scattered Spider escaló sus privilegios restableciendo cuentas de servicio clave y asignándose poderes de administrador de alto nivel. Incluso movieron máquinas virtuales - como trasladar objetos de valor entre cajas fuertes - haciendo más difícil que los defensores detectaran el robo. Los investigadores encontraron pruebas de que el grupo intentó robar datos de repositorios en la nube como Snowflake y Amazon Web Services, buscando un premio mayor digital.

¿Jubilación o Rebranding?

¿Por qué anunciar una jubilación solo para regresar? Los expertos creen que es una clásica maniobra de distracción. “Más que una verdadera disolución, este anuncio probablemente señala un movimiento estratégico para distanciar al grupo de la creciente presión policial”, dice Karl Sigler de Trustwave SpiderLabs. Cuando los grupos de hackers sienten presión - ya sea por arrestos, filtraciones o infraestructura comprometida - a menudo desaparecen solo de nombre, reorganizándose y resurgiendo bajo nuevas banderas.

Scattered Spider no es un operador solitario. Sus miembros se superponen con otros clústeres infames como ShinyHunters y LAPSUS$, formando una alianza enmarañada conocida por las autoridades como “scattered LAPSUS$ hunters”. En el pasado, estos grupos han extorsionado a empresas mucho después de las brechas iniciales, usando datos robados como palanca meses después. Sus métodos recuerdan a otros ataques de alto perfil contra el sector financiero y más allá - recordándonos que en el cibercrimen, las jubilaciones rara vez son lo que parecen.

WIKICROOK

• Ingeniería Social: La ingeniería social es el uso del engaño por parte de hackers para inducir a las personas a revelar información confidencial o proporcionar acceso no autorizado a sistemas.
• Escalada de Privilegios: La escalada de privilegios ocurre cuando un atacante obtiene acceso de mayor nivel, pasando de una cuenta de usuario normal a privilegios de administrador en un sistema o red.
• Dominios Imitadores: Los dominios imitadores son direcciones web falsas que imitan de cerca a las reales para engañar a los usuarios o eludir filtros de seguridad, y se usan a menudo en ataques de phishing.
• Máquina Virtual (VM): Una Máquina Virtual (VM) es un ordenador basado en software que permite a los usuarios ejecutar sistemas operativos separados en un solo dispositivo físico, mejorando la flexibilidad y la seguridad.
• Exfiltración: La exfiltración es la transferencia no autorizada de datos sensibles desde la red de una víctima a un sistema externo controlado por los atacantes.