Las autoridades policiales supuestamente arrestaron a un miembro clave del notorio grupo de delitos cibernéticos llamado Scattered Spider.
El individuo, un hombre de 22 años del Reino Unido, fue detenido esta semana en la ciudad española de Palma de Mallorca cuando intentaba abordar un vuelo con destino a Italia. Se dice que la medida es un esfuerzo conjunto entre la Oficina Federal de Investigaciones (FBI) de Estados Unidos y la Policía española.
La noticia del arresto fue reportado por primera vez por Murcia Today el 14 de junio de 2024, con vx-underground después revelador que la parte detenida está “asociada con varios otros ataques de ransomware de alto perfil realizados por Scattered Spider”.
El grupo de investigación de malware dijo además que el individuo era un intercambiador de SIM que operaba bajo el alias “Tyler”. Los ataques de intercambio de SIM funcionan llamando al operador de telecomunicaciones para que transfiera el número de teléfono de un objetivo a una SIM bajo su control con el objetivo de interceptar sus mensajes, incluidas las contraseñas de un solo uso (OTP), y tomar el control de sus cuentas en línea.
Según el periodista de seguridad Brian Krebs, Tyler es creyó ser un joven escocés de 22 años llamado Tyler Buchanan, que se conoce con el nombre de “tylerb” en los canales de Telegram relacionados con el intercambio de SIM.
Tyler es el segundo miembro del grupo Scattered Spider en ser arrestado después de Noah Michael Urban, quien fue acusado por el Departamento de Justicia de Estados Unidos a principios de febrero de fraude electrónico y robo de identidad agravado por delitos.
Scattered Spider, que también se superpone con la actividad rastreada con los apodos 0ktapus, Octo Tempest y UNC3944, es un grupo de amenazas con motivación financiera que es famoso por orquestar sofisticados ataques de ingeniería social para obtener acceso inicial a las organizaciones. Se sospecha que los miembros del grupo forman parte de una banda cibercriminal más grande llamada The Com.
Inicialmente centrado en la recolección de credenciales y el intercambio de SIM, desde entonces el grupo ha adaptado su oficio para centrarse en el ransomware y la extorsión por robo de datos, antes de pasar a ataques de extorsión sin cifrado que tienen como objetivo robar datos de aplicaciones de software como servicio (SaaS).
“La evidencia también sugiere que UNC3944 ha recurrido ocasionalmente a tácticas para generar miedo para obtener acceso a las credenciales de las víctimas”, dijo Mandiant, propiedad de Google. “Estas tácticas incluyen amenazas de doxear información personal, daño físico a las víctimas y sus familias, y la distribución de material comprometedor”.
Mandiant dijo a The Hacker News que la actividad asociada con UNC3944 muestra cierto nivel de similitudes con otro grupo rastreado por la Unidad 42 de Palo Alto Networks como Muddled Libra, que también se ha observado apuntando a aplicaciones SaaS para filtrar datos confidenciales. Sin embargo, enfatizó que “no deben considerarse ‘iguales'”.
Los nombres 0ktapus y Muddled Libra provienen del uso por parte del actor de amenazas de un kit de phishing diseñado para robar las credenciales de inicio de sesión de Okta y desde entonces ha sido utilizado por varios otros grupos de hackers.
“UNC3944 también ha aprovechado las técnicas de abuso de permisos de Okta mediante la autoasignación de una cuenta comprometida a cada aplicación en una instancia de Okta para ampliar el alcance de la intrusión más allá de la infraestructura local a aplicaciones de nube y SaaS”, señaló Mandiant.
“Con esta escalada de privilegios, el actor de amenazas no sólo podría abusar de las aplicaciones que aprovechan Okta para el inicio de sesión único (SSO), sino también realizar un reconocimiento interno mediante el uso del portal web de Okta observando visualmente qué mosaicos de aplicaciones estaban disponibles después de estas asignaciones de roles. “.
Las cadenas de ataques se caracterizan por el uso de utilidades legítimas de sincronización en la nube como Airbyte y Fivetran para exportar los datos a depósitos de almacenamiento en la nube controlados por el atacante, además de tomar medidas para realizar un reconocimiento exhaustivo, establecer la persistencia mediante la creación de nuevas máquinas virtuales y debilitar las defensas. .
Además, se ha observado que Scattered Spider utiliza soluciones de respuesta y detección de puntos finales (EDR) para ejecutar comandos como whoami y quser con el fin de probar el acceso al entorno.
“UNC3944 continuó accediendo a Azure, CyberArk, Salesforce y Workday y dentro de cada una de estas aplicaciones realizó más reconocimientos”, dijo la firma de inteligencia de amenazas. “Específicamente para CyberArk, Mandiant ha observado la descarga y el uso del módulo psPAS de PowerShell específicamente para interactuar mediante programación con la instancia CyberArk de una organización”.
El objetivo de la solución CyberArk Privileged Access Security (PAS) también ha sido un patrón observado en los ataques de ransomware RansomHub, lo que plantea la posibilidad de que al menos un miembro de Scattered Spider se haya convertido en afiliado del naciente ransomware como servicio. (RaaS), según GuidePoint Security.
La evolución de las tácticas del actor de amenazas coincide además con su orientación activa de las industrias financiera y de seguros que utilizan dominios similares y páginas de inicio de sesión convincentes para el robo de credenciales.
El FBI dijo a Reuters el mes pasado que es sentando las bases para acusar a los piratas informáticos del grupo que ha sido vinculado a ataques dirigidos a más de 100 organizaciones desde su aparición en mayo de 2022.