Investigadores de ciberseguridad han detectado una nueva ola de ataques del grupo Scattered Spider, esta vez enfocados en instituciones del sector financiero. Aunque el grupo había anunciado un supuesto “retiro”, los indicios apuntan a que sigue operativo y refinando sus métodos.
Tácticas de ataque de Scattered Spider
Scattered Spider utiliza una combinación de ingeniería social y movimientos laterales sofisticados para infiltrarse en las redes de sus víctimas.
- Acceso inicial mediante ingeniería social: El grupo obtiene acceso al comprometer una cuenta ejecutiva. Una de sus tácticas es utilizar la función de autogestión de contraseñas de Azure Active Directory para restablecer las credenciales, lo que les permite ingresar sin tener que explotar vulnerabilidades de software.
- Movimientos laterales: Una vez dentro, explotan VPNs, entornos Citrix, herramientas de virtualización como VMware ESXi y servidores de respaldo como Veeam. También se ha observado que usan cuentas de servicio para escalar privilegios, otorgándose permisos de administrador global en Azure.
- Exfiltración de datos: Roban documentos de TI y seguridad, posiblemente para extorsión o para filtrar información confidencial. ESXi es utilizado para copiar discos virtuales y extraer credenciales.
- Dominios falsos (look-alike): Registran dominios que imitan servicios comunes de soporte o inicio de sesión único (SSO), con palabras como “helpdesk”, “okta” o “sso”. Estos dominios son utilizados para realizar phishing y robar credenciales.
Sectores y objetivos
El objetivo actual son entidades financieras en Estados Unidos, aunque también han atacado a empresas de servicios tecnológicos (MSPs). La combinación de ataques a VMware, Citrix y Veeam les permite tener un alto impacto si la infraestructura no está bien segmentada y monitoreada.
Evolución de sus métodos
- Patrones de phishing más sofisticados: Ya no utilizan dominios con guiones o nombres obvios, sino variaciones tipográficas más sutiles en subdominios para parecer más legítimos.
- Evasión de MFA: Han aumentado el uso de técnicas para bypassear la autenticación multifactor (MFA), ya sea a través de phishing de tipo hombre-en-el-medio (AiTM) o abusando de los accesos del soporte técnico.
- Colaboración con otros grupos: Se han reportado colaboraciones con grupos como ShinyHunters, lo que podría indicar que comparten infraestructura o herramientas.
Recomendaciones
- Fortalecer los controles de identidad: Implementa MFA resistente al phishing, y establece un proceso de verificación adicional para los restablecimientos de contraseñas en los help desks.
- Monitorear activamente los dominios falsos: Registra y monitorea los dominios que imiten a los tuyos y que incluyan palabras clave sospechosas.
- Segmentar redes críticas: Asegúrate de que los servidores esenciales, paneles de administración y sistemas de respaldo no sean accesibles directamente. Utiliza barreras como firewalls internos y segmentación.
- Limitar privilegios: Restringe los privilegios de las cuentas de servicio y administra con sumo cuidado los permisos más altos, como el de Administrador Global.
