Las autoridades policiales supuestamente arrestaron a un miembro clave del notorio grupo de delitos cibern\u00e9ticos llamado Scattered Spider.<\/p>\n
El individuo, un hombre de 22 a\u00f1os del Reino Unido, fue detenido esta semana en la ciudad espa\u00f1ola de Palma de Mallorca cuando intentaba abordar un vuelo con destino a Italia. Se dice que la medida es un esfuerzo conjunto entre la Oficina Federal de Investigaciones (FBI) de Estados Unidos y la Polic\u00eda espa\u00f1ola.<\/p>\n
La noticia del arresto fue reportado por primera vez<\/a> por Murcia Today el 14 de junio de 2024, con vx-underground despu\u00e9s<\/a> revelador<\/a> que la parte detenida est\u00e1 “asociada con varios otros ataques de ransomware de alto perfil realizados por Scattered Spider”.<\/p>\n El grupo de investigaci\u00f3n de malware dijo adem\u00e1s que el individuo era un intercambiador de SIM que operaba bajo el alias “Tyler”. Los ataques de intercambio de SIM funcionan llamando al operador de telecomunicaciones para que transfiera el n\u00famero de tel\u00e9fono de un objetivo a una SIM bajo su control con el objetivo de interceptar sus mensajes, incluidas las contrase\u00f1as de un solo uso (OTP), y tomar el control de sus cuentas en l\u00ednea.<\/p>\n Seg\u00fan el periodista de seguridad Brian Krebs, Tyler es crey\u00f3<\/a> ser un joven escoc\u00e9s de 22 a\u00f1os llamado Tyler Buchanan, que se conoce con el nombre de “tylerb” en los canales de Telegram relacionados con el intercambio de SIM.<\/p>\n Tyler es el segundo miembro del grupo Scattered Spider en ser arrestado despu\u00e9s de Noah Michael Urban, quien fue acusado por el Departamento de Justicia de Estados Unidos a principios de febrero de fraude electr\u00f3nico y robo de identidad agravado por delitos.<\/p>\n Scattered Spider, que tambi\u00e9n se superpone con la actividad rastreada con los apodos 0ktapus, Octo Tempest y UNC3944, es un grupo de amenazas con motivaci\u00f3n financiera que es famoso por orquestar sofisticados ataques de ingenier\u00eda social para obtener acceso inicial a las organizaciones. Se sospecha que los miembros del grupo forman parte de una banda cibercriminal m\u00e1s grande llamada The Com.<\/p>\n Inicialmente centrado en la recolecci\u00f3n de credenciales y el intercambio de SIM, desde entonces el grupo ha adaptado su oficio para centrarse en el ransomware y la extorsi\u00f3n por robo de datos, antes de pasar a ataques de extorsi\u00f3n sin cifrado que tienen como objetivo robar datos de aplicaciones de software como servicio (SaaS).<\/p>\n “La evidencia tambi\u00e9n sugiere que UNC3944 ha recurrido ocasionalmente a t\u00e1cticas para generar miedo para obtener acceso a las credenciales de las v\u00edctimas”, dijo Mandiant, propiedad de Google. “Estas t\u00e1cticas incluyen amenazas de doxear informaci\u00f3n personal, da\u00f1o f\u00edsico a las v\u00edctimas y sus familias, y la distribuci\u00f3n de material comprometedor”.<\/p>\n Mandiant dijo a The Hacker News que la actividad asociada con UNC3944 muestra cierto nivel de similitudes con otro grupo rastreado por la Unidad 42 de Palo Alto Networks como Muddled Libra, que tambi\u00e9n se ha observado apuntando a aplicaciones SaaS para filtrar datos confidenciales. Sin embargo, enfatiz\u00f3 que “no deben considerarse ‘iguales'”.<\/p>\n Los nombres 0ktapus y Muddled Libra provienen del uso por parte del actor de amenazas de un kit de phishing dise\u00f1ado para robar las credenciales de inicio de sesi\u00f3n de Okta y desde entonces ha sido utilizado por varios otros grupos de hackers.<\/p>\n “UNC3944 tambi\u00e9n ha aprovechado las t\u00e9cnicas de abuso de permisos de Okta mediante la autoasignaci\u00f3n de una cuenta comprometida a cada aplicaci\u00f3n en una instancia de Okta para ampliar el alcance de la intrusi\u00f3n m\u00e1s all\u00e1 de la infraestructura local a aplicaciones de nube y SaaS”, se\u00f1al\u00f3 Mandiant.<\/p>\n “Con esta escalada de privilegios, el actor de amenazas no s\u00f3lo podr\u00eda abusar de las aplicaciones que aprovechan Okta para el inicio de sesi\u00f3n \u00fanico (SSO), sino tambi\u00e9n realizar un reconocimiento interno mediante el uso del portal web de Okta observando visualmente qu\u00e9 mosaicos de aplicaciones estaban disponibles despu\u00e9s de estas asignaciones de roles. “.<\/p>\n Las cadenas de ataques se caracterizan por el uso de utilidades leg\u00edtimas de sincronizaci\u00f3n en la nube como Airbyte y Fivetran para exportar los datos a dep\u00f3sitos de almacenamiento en la nube controlados por el atacante, adem\u00e1s de tomar medidas para realizar un reconocimiento exhaustivo, establecer la persistencia mediante la creaci\u00f3n de nuevas m\u00e1quinas virtuales y debilitar las defensas. .<\/p>\n Adem\u00e1s, se ha observado que Scattered Spider utiliza soluciones de respuesta y detecci\u00f3n de puntos finales (EDR) para ejecutar comandos como whoami y quser con el fin de probar el acceso al entorno.<\/p>\n “UNC3944 continu\u00f3 accediendo a Azure, CyberArk, Salesforce y Workday y dentro de cada una de estas aplicaciones realiz\u00f3 m\u00e1s reconocimientos”, dijo la firma de inteligencia de amenazas. “Espec\u00edficamente para CyberArk, Mandiant ha observado la descarga y el uso del m\u00f3dulo psPAS de PowerShell espec\u00edficamente para interactuar mediante programaci\u00f3n con la instancia CyberArk de una organizaci\u00f3n”.<\/p>\n El objetivo de la soluci\u00f3n CyberArk Privileged Access Security (PAS) tambi\u00e9n ha sido un patr\u00f3n observado en los ataques de ransomware RansomHub, lo que plantea la posibilidad de que al menos un miembro de Scattered Spider se haya convertido en afiliado del naciente ransomware como servicio. (RaaS), seg\u00fan GuidePoint Security.<\/p>\n La evoluci\u00f3n de las t\u00e1cticas del actor de amenazas coincide adem\u00e1s con su orientaci\u00f3n activa<\/a> de las industrias financiera y de seguros que utilizan dominios similares y p\u00e1ginas de inicio de sesi\u00f3n convincentes para el robo de credenciales.<\/p>\n El FBI dijo a Reuters el mes pasado que es sentando las bases<\/a> para acusar a los piratas inform\u00e1ticos del grupo que ha sido vinculado a ataques dirigidos a m\u00e1s de 100 organizaciones desde su aparici\u00f3n en mayo de 2022.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n