El infame grupo de ciberdelincuencia conocido como Araña dispersa ha incorporado cepas de ransomware como RansomHub y Qilin a su arsenal, según ha revelado Microsoft.
Scattered Spider es la denominación que se le da a un actor de amenazas conocido por sus sofisticados esquemas de ingeniería social para vulnerar objetivos y establecer persistencia para su posterior explotación y robo de datos. También tiene antecedentes de atacar servidores VMWare ESXi y de implementar el ransomware BlackCat.
Comparte similitudes con grupos de actividades rastreados por la comunidad de ciberseguridad en general bajo los nombres 0ktapus, Octo Tempest y UNC3944. El mes pasado, se informó que un miembro clave del grupo fue arrestado en España.
Se ha evaluado que RansomHub, que apareció en escena a principios de febrero, es una nueva marca de otra cepa de ransomware llamada Knight, según un análisis realizado por Symantec, propiedad de Broadcom, el mes pasado.
«RansomHub es una carga útil de ransomware como servicio (RaaS) utilizada por cada vez más actores de amenazas, incluidos aquellos que históricamente han utilizado otras cargas útiles de ransomware (a veces obsoletas) (como BlackCat), lo que la convierte en una de las familias de ransomware más extendidas en la actualidad», dijo Microsoft. dicho.
El fabricante de Windows dijo que también observó que RansomHub se implementaba como parte de la actividad posterior al compromiso de Manatee Tempest (también conocido como DEV-0243, Evil Corp o Indrik Spider) luego del acceso inicial obtenido por Mustard Tempest (también conocido como DEV-0206 o Purple Vallhund) a través de infecciones de FakeUpdates (también conocido como Socgholish).
Vale la pena mencionar aquí que Mustard Tempest es un agente de acceso inicial que, en el pasado, ha utilizado FakeUpdates en ataques que han llevado a acciones similares al comportamiento previo al ransomware asociado con Evil Corp. Estas intrusiones también fueron notables por el hecho de que FakeUpdates se entregó a través de Petirrojo frambuesa Infecciones.
El desarrollo se produce en medio de la aparición de nuevas familias de ransomware como FakePenny (atribuido a Moonstone Sleet), Niebla (distribuido por Storm-0844, que también ha propagado Akira), y Raíz de sombrael último de los cuales se ha observado que apunta a empresas turcas y utiliza facturas en PDF falsas.
«A medida que la amenaza del ransomware continúa aumentando, expandiéndose y evolucionando, se recomienda a los usuarios y organizaciones que sigan las mejores prácticas de seguridad, especialmente la higiene de credenciales, el principio del mínimo privilegio y la confianza cero», afirmó Microsoft.