El actor de amenazas con motivaci\u00f3n financiera conocido como UNC3944<\/strong> est\u00e1 girando hacia la implementaci\u00f3n de ransomware como parte de una expansi\u00f3n de sus estrategias de monetizaci\u00f3n, revel\u00f3 Mandiant.<\/p>\n “UNC3944 ha demostrado un mayor enfoque en el robo de grandes cantidades de datos confidenciales con fines de extorsi\u00f3n y parece comprender las pr\u00e1cticas comerciales occidentales, posiblemente debido a la composici\u00f3n geogr\u00e1fica del grupo”, dijo la firma de inteligencia de amenazas. dicho<\/a>.<\/p>\n “UNC3944 tambi\u00e9n se ha basado constantemente en herramientas disponibles p\u00fablicamente y software leg\u00edtimo en combinaci\u00f3n con malware disponible para su compra en foros clandestinos”.<\/p>\n El grupo, tambi\u00e9n conocido con los nombres 0ktapus, Scatter Swine y Scattered Spider, ha estado activo desde principios de 2022, adoptando ingenier\u00eda social basada en tel\u00e9fonos y phishing basado en SMS para obtener credenciales v\u00e1lidas de los empleados utilizando p\u00e1ginas de inicio de sesi\u00f3n falsas e infiltrarse en la v\u00edctima. organizaciones, reflejando las t\u00e1cticas adoptadas por otro grupo llamado LAPSUS$.<\/p>\n Si bien el grupo originalmente se centr\u00f3 en empresas de telecomunicaciones y subcontrataci\u00f3n de procesos comerciales (BPO), desde entonces ha ampliado su objetivo para incluir hoteler\u00eda, comercio minorista, medios y entretenimiento, y servicios financieros, lo que ilustra la creciente amenaza.<\/p>\n Una caracter\u00edstica clave de los actores de amenazas es que se sabe que aprovechan las credenciales de una v\u00edctima para hacerse pasar por el empleado en las llamadas al servicio de atenci\u00f3n al cliente de la organizaci\u00f3n en un intento de obtener c\u00f3digos de autenticaci\u00f3n multifactor (MFA) y\/o restablecimientos de contrase\u00f1a.<\/p>\n Vale la pena se\u00f1alar que Okta, a principios de este mes, advirti\u00f3 a los clientes sobre los mismos ataques, y la banda de delitos electr\u00f3nicos llam\u00f3 a los servicios de asistencia de TI de las v\u00edctimas para enga\u00f1ar al personal de soporte y restablecer los c\u00f3digos MFA para los empleados con altos privilegios, permiti\u00e9ndoles obtener acceso. a esas valiosas cuentas.<\/p>\n En un caso, se dice que un empleado instal\u00f3 el malware RECORDSTEALER mediante una descarga de software falsa, lo que posteriormente facilit\u00f3 el robo de credenciales. Las p\u00e1ginas de inicio de sesi\u00f3n fraudulentas, dise\u00f1adas con kits de phishing como EIGHTBAIT y otros, son capaces de enviar las credenciales capturadas a un canal de Telegram controlado por un actor e implementar AnyDesk.<\/p>\n Tambi\u00e9n se ha observado que el adversario utiliza una variedad de ladrones de informaci\u00f3n (por ejemplo, Atomic, ULTRAKNOT o Meduza y Vidar) y herramientas de robo de credenciales (por ejemplo, microexplosi\u00f3n<\/a>) para obtener el acceso privilegiado necesario para cumplir sus objetivos y aumentar sus operaciones.<\/p>\n Parte de la actividad de UNC3944 incluye el uso de servicios de proxy residenciales comerciales para acceder a sus v\u00edctimas para evadir la detecci\u00f3n y software de acceso remoto leg\u00edtimo, as\u00ed como realizar un reconocimiento exhaustivo de directorios y redes para ayudar a escalar privilegios y mantener la persistencia.<\/p>\n La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n <\/a><\/p>\n Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qu\u00e9 la identidad es el nuevo punto final. Asegura tu lugar ahora.<\/p>\n Potencia tus habilidades<\/a><\/section>\n Tambi\u00e9n es digno de menci\u00f3n su abuso de los recursos en la nube de la organizaci\u00f3n v\u00edctima para alojar utilidades maliciosas para desactivar el firewall y el software de seguridad y entregarlos a otros puntos finales, lo que subraya la evoluci\u00f3n del oficio del grupo de piratas inform\u00e1ticos.<\/p>\n Los \u00faltimos hallazgos se producen cuando el grupo surgi\u00f3 como afiliado del equipo de ransomware BlackCat (tambi\u00e9n conocido como ALPHV o Noberus), aprovechando su nuevo estatus para incumplimiento<\/a> Hoteles MGM<\/a> y distribuir<\/a> el malware de cifrado de archivos.<\/p>\n “Los actores de amenazas operan con un ritmo operativo extremadamente alto, accediendo a sistemas cr\u00edticos y extrayendo grandes vol\u00famenes de datos en el transcurso de unos pocos d\u00edas”, se\u00f1al\u00f3 Mandiant.<\/p>\n “Al implementar ransomware, los actores de amenazas parecen apuntar espec\u00edficamente a m\u00e1quinas virtuales y otros sistemas cr\u00edticos para el negocio, probablemente en un intento de maximizar el impacto para la v\u00edctima”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n