Autoridades Arrestan a Miembro Clave del Grupo de Cibercrimen Scattered Spider
Esta semana, un hombre de 22 años del Reino Unido, supuestamente miembro del grupo de cibercrimen Scattered Spider, fue arrestado en la ciudad española de Palma de Mallorca mientras intentaba abordar un vuelo a Italia. El arresto fue un esfuerzo conjunto entre el FBI de los Estados Unidos y la Policía Española.
Detalles del Arresto
La noticia del arresto fue reportada por primera vez por Murcia Today el 14 de junio de 2024. El grupo de investigación de malware, vx-underground, reveló que el detenido está «asociado con varios ataques de ransomware de alto perfil realizados por Scattered Spider.»
Perfil del Arrestado
El individuo es conocido como «Tyler» y se dice que es un intercambiador de SIM. Los ataques de intercambio de SIM consisten en transferir el número de teléfono de la víctima a una SIM en poder del atacante, con el fin de interceptar mensajes y controlar cuentas en línea.
El periodista de seguridad Brian Krebs identificó al sospechoso como Tyler Buchanan, un joven de 22 años de Escocia, que se hace llamar «tylerb» en canales de Telegram relacionados con el intercambio de SIM.
Scattered Spider: Un Grupo Notorio
Scattered Spider es conocido por orquestar complejos ataques de ingeniería social para acceder a organizaciones. El grupo, que también opera bajo los nombres 0ktapus, Octo Tempest, y UNC3944, está motivado financieramente y se adapta continuamente, pasando de intercambiar credenciales y SIM a ataques de ransomware y extorsión de datos.
El arresto de Tyler sigue al de Noah Michael Urban, otro miembro del grupo, quien fue acusado por el Departamento de Justicia de Estados Unidos en febrero por fraude electrónico y robo de identidad agravado.
Google Advierte sobre Tácticas de UNC3944 en la Nube
Google, a través de Mandiant, ha identificado que el grupo de amenazas UNC3944 ha utilizado tácticas de intimidación, como amenazas de divulgar información personal, dañar físicamente a las víctimas y sus familias, y distribuir material comprometedor, para obtener credenciales.
Mandiant mencionó que la actividad de UNC3944 muestra similitudes con otro grupo conocido como Muddled Libra, que también ha atacado aplicaciones SaaS para exfiltrar datos sensibles. Sin embargo, aclaró que no deben considerarse el mismo grupo.
Phishing y Abuso de Permisos
UNC3944 y Muddled Libra utilizan un kit de phishing diseñado para robar credenciales de inicio de sesión de Okta, una técnica adoptada por varios grupos de hackers. Además, UNC3944 abusa de los permisos de Okta para expandir su intrusión a aplicaciones en la nube y SaaS.
Gracias a esta escalación de privilegios, pueden realizar un reconocimiento interno observando las aplicaciones disponibles tras asignar estos roles.
Cadenas de Ataque
Los ataques se caracterizan por el uso de herramientas legítimas de sincronización en la nube como Airbyte y Fivetran, para exportar datos a almacenamiento controlado por los atacantes. También configuran persistencia creando nuevas máquinas virtuales y debilitando defensas.
Uso de EDR
El grupo Scattered Spider también utiliza soluciones de detección y respuesta en endpoints (EDR) para ejecutar comandos y probar el acceso al entorno.
UNC3944 continúa accediendo a servicios como Azure, CyberArk, Salesforce y Workday.
Ataques de Ransomware Dirigidos
La firma de inteligencia de amenazas reportó que ciertas aplicaciones realizan un reconocimiento adicional. En particular, Mandiant observó la descarga y uso del módulo PowerShell psPAS para interactuar programáticamente con la instancia de CyberArk de una organización.
Objetivo: CyberArk Privileged Access Security (PAS)
Se ha observado un patrón de ataques dirigidos a la solución Privileged Access Security (PAS) de CyberArk en los ataques de ransomware de RansomHub. Esto sugiere que al menos un miembro de Scattered Spider podría haberse afiliado a la operación de ransomware-as-a-service (RaaS), según GuidePoint Security.
Cambio en Tácticas
La evolución de las tácticas del actor de amenazas coincide con el objetivo activo de industrias de finanzas y seguros, utilizando dominios y páginas de inicio de sesión falsas para el robo de credenciales. El FBI informó a Reuters el mes pasado que están preparando cargos contra los hackers del grupo, vinculado a ataques dirigidos a más de 100 organizaciones desde su aparición en mayo de 2022.
