El grupo de amenazas conocido como Scattered Spider ha incrementado sus ataques dirigidos a entornos virtualizados, comprometiendo hipervisores VMware ESXi en organizaciones de Estados Unidos pertenecientes a los sectores de comercio minorista, transporte, aerolíneas y seguros.
Según Google Threat Intelligence Group (GTIG), el grupo no se apoya en la explotación de vulnerabilidades técnicas, sino en tácticas altamente efectivas de ingeniería social, que logran evadir incluso programas de seguridad maduros.
Acceso inicial mediante suplantación a mesas de ayuda
El vector inicial de los ataques se basa en llamadas telefónicas, donde los atacantes se hacen pasar por empleados de la organización ante el personal de soporte técnico. Su objetivo es lograr el reinicio de contraseñas en Active Directory, con lo cual obtienen acceso inicial a la red.
Una vez dentro, escanean los sistemas en busca de documentación interna que revele usuarios privilegiados, especialmente administradores de vSphere o Active Directory, además de soluciones de gestión de accesos privilegiados (PAM).
Posteriormente, utilizan esa información para realizar nuevas llamadas, esta vez haciéndose pasar por usuarios con privilegios elevados, y solicitan otro reinicio de contraseña para tomar control total de esas cuentas críticas.
Compromiso total de la infraestructura virtual
Con cuentas privilegiadas bajo su control, los atacantes avanzan hacia la VMware vCenter Server Appliance (vCSA), desde donde pueden administrar por completo los entornos vSphere y los hipervisores ESXi. A este nivel, habilitan conexiones SSH, restablecen contraseñas root, y ejecutan ataques como el llamado “disk-swap”, diseñado para extraer la base de datos NTDS.dit del controlador de dominio.
Este ataque implica apagar la máquina virtual del controlador de dominio, separar su disco virtual, conectarlo a otra VM controlada por los atacantes, extraer la información, y revertir el proceso para no levantar sospechas.
Eliminación de respaldos y despliegue de ransomware
El dominio sobre la infraestructura permite a Scattered Spider eliminar respaldos, snapshots y repositorios completos. En la fase final, utilizan el acceso SSH para desplegar ransomware, cifrando todos los archivos de máquinas virtuales dentro de los almacenes de datos.
De acuerdo con GTIG, esta cadena de ataque consta de cinco fases claramente definidas y puede completarse en cuestión de horas, pasando del acceso inicial a la cifra completa de sistemas virtualizados.
Control sin explotar vulnerabilidades
Aunque el grupo no emplea exploits, logra obtener un nivel sin precedentes de control sobre entornos virtuales, eludiendo muchas de las medidas de seguridad tradicionales presentes dentro de las máquinas virtuales.
Esta técnica ya fue observada en incidentes de alto perfil, como el ataque a MGM Resorts en 2023, y Google advierte que más grupos de ransomware están adoptando este enfoque, dada la falta de comprensión y protección adecuada de infraestructuras VMware en muchas organizaciones.
Recomendaciones para proteger entornos virtualizados
Google ha publicado una guía técnica para mitigar este tipo de amenazas. Las principales medidas se resumen en tres pilares:
Endurecimiento de vSphere:
Habilitar
execInstalledOnly, cifrar VMs, desactivar SSH.Evitar unir ESXi directamente a AD.
Eliminar VMs huérfanas, aplicar MFA estricta y políticas de acceso controladas.
Monitoreo constante ante desviaciones de configuración.
Fortalecimiento de accesos:
Usar MFA resistente al phishing en VPN, AD y vCenter.
Aislar activos de Nivel 0 (DCs, respaldos, PAM).
Evitar que estos sistemas críticos compartan infraestructura con lo que protegen.
Considerar proveedores de identidad en la nube para romper dependencia con AD.
Monitoreo y respaldo:
Centralizar logs en un SIEM y alertar ante eventos clave (cambios de grupo admin, logins en vCenter, habilitación de SSH).
Utilizar respaldos inmutables y fuera de línea (air-gapped).
Probar planes de recuperación ante ataques que comprometan el hipervisor.
Scattered Spider: una amenaza persistente y especializada
También conocido como UNC3944, Octo Tempest o 0ktapus, Scattered Spider es un grupo motivado financieramente que domina el arte de la suplantación de identidad con técnicas avanzadas de ingeniería social, incluyendo el uso de jerga y acento apropiados según la organización objetivo.
Aunque la Agencia Nacional contra el Crimen del Reino Unido (NCA) ha arrestado a algunos de sus miembros, la actividad maliciosa de otros subgrupos continúa activa.
