Scattered Spider
Scattered Spider es un actor de amenazas con motivaciones financieras conocido por su sofisticado uso de la ingeniería social, el abuso de identidades y los ataques de ransomware de alto impacto. Activo desde principios de 2022, el grupo ha evolucionado rápidamente, dirigiéndose a una amplia gama de industrias en múltiples países.
El origen de Scattered Spider
Scattered SpiderSCATTERED SPIDER, también conocido por alias como Storm-0875, LUCR-3, Octo Tempest, Roasted 0ktapus, Scatter Swine y UNC3944, es un prolífico adversario del crimen electrónico activo desde principios de 2022. Se cree que SCATTERED SPIDER opera principalmente desde países occidentales y es conocido por sus ataques financieros de gran impacto, especialmente contra organizaciones con grandes ingresos. Sus operaciones evolucionaron desde el robo de credenciales y el intercambio de SIM hasta despliegues de ransomware de alto perfil, a menudo con la extorsión como objetivo final.
Las primeras campañas se centraron en empresas de gestión de relaciones con los clientes (CRM) y de externalización de procesos empresariales (BPO). Sin embargo, en abril de 2023, su ámbito operativo se amplió con la adopción del ransomware como principal herramienta de monetización. A pesar de las detenciones de presuntos miembros adolescentes en 2024 por parte de las fuerzas de seguridad británicas y estadounidenses, el grupo sigue activo.
Países destinatarios de
El grupo se dirige a numerosos países de varios continentes. Algunos ejemplos notables son:
- Estados Unidos, Canadá y Brasil en el continente americano.
- Reino Unido, Alemania, Italia, Francia y Suiza en Europa.
- Corea del Sur, Japón, Singapur, India y Australia en la región Asia-Pacífico.
Industrias objetivo de Scattered Spider
Scattered Spider destaca por la amplitud de sectores a los que se dirige. Entre ellos figuran:
- Telecomunicaciones y Tecnología, sobre todo en sus primeras campañas.
- El comercio minorista, los servicios financieros y los bienes de consumo, que fueron objeto de un mayor número de ataques a medida que el ransomware se convertía en un elemento central de sus operaciones.
- Una amplia gama de otros sectores como el manufacturero, la hostelería, el jurídico, la sanidad, la energía y las criptomonedas, lo que indica un enfoque no discriminatorio de "caza mayor" centrado en la rentabilidad.
Víctimas de Scattered Spider
Aunque muchas víctimas permanecen en el anonimato debido a la naturaleza sensible de los incidentes, se confirma que SCATTERED SPIDER impacta principalmente:
- Empresas Fortune 500
- Organizaciones con grandes ingresos
- Empresas con acceso a datos sensibles de usuarios e infraestructura a escala empresarial
Método de ataque de Scattered Spider
Se consigue mediante tácticas avanzadas de ingeniería social como el smishing, el vishing y la suplantación de los servicios de asistencia informática. Los atacantes se aprovechan de la confianza de los usuarios para eludir la autenticación y obtener acceso.
Su objetivo son las cuentas con privilegios elevados, y a menudo se centran en el personal de TI, de seguridad y de la alta dirección.
Uso de malware personalizado (por ejemplo, CS-Paralyzer), reinicios en modo seguro, modificación del registro y kits de arranque UEFI personalizados (como BlackLotus) para desactivar o eludir las herramientas EDR/AV.
Obtenido a través de kits dephishing , Mimikatz, secretsdump.py, DCSync y capturas de RAM.
Utilizar herramientas legítimas y documentación interna para cartografiar el entorno.
A través de RDP, SSH, PSExec y comandos Azure; explotan las relaciones de confianza internas.
Extraiga datos de SharePoint, GSuite, archivos compartidos internos y repositorios de correo electrónico.
Despliegue de malware o herramientas RMM como AnyDesk, ScreenConnect y TightVNC.
Aprovecha herramientas como Chisel y Plink para tunelizar datos a servidores remotos o canales de Telegram.
Cifra los datos con ransomware como Alphv, DragonForce, Qilin y RansomHub. A veces realiza una doble extorsión.
Se consigue mediante tácticas avanzadas de ingeniería social como el smishing, el vishing y la suplantación de los servicios de asistencia informática. Los atacantes se aprovechan de la confianza de los usuarios para eludir la autenticación y obtener acceso.
Su objetivo son las cuentas con privilegios elevados, y a menudo se centran en el personal de TI, de seguridad y de la alta dirección.
Uso de malware personalizado (por ejemplo, CS-Paralyzer), reinicios en modo seguro, modificación del registro y kits de arranque UEFI personalizados (como BlackLotus) para desactivar o eludir las herramientas EDR/AV.
Obtenido a través de kits dephishing , Mimikatz, secretsdump.py, DCSync y capturas de RAM.
Utilizar herramientas legítimas y documentación interna para cartografiar el entorno.
A través de RDP, SSH, PSExec y comandos Azure; explotan las relaciones de confianza internas.
Extraiga datos de SharePoint, GSuite, archivos compartidos internos y repositorios de correo electrónico.
Despliegue de malware o herramientas RMM como AnyDesk, ScreenConnect y TightVNC.
Aprovecha herramientas como Chisel y Plink para tunelizar datos a servidores remotos o canales de Telegram.
Cifra los datos con ransomware como Alphv, DragonForce, Qilin y RansomHub. A veces realiza una doble extorsión.
TTPs utilizados por Scattered Spider
Cómo detectar Scattered Spider con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué diferencia a Scattered Spider de otros grupos de amenazas?
Combinan de forma única la ingeniería social, el intercambio de SIM y las herramientas legítimas para eludir los mecanismos de seguridad sin necesidad de exploits de zero-day .
¿Cómo consigue Scattered Spider Spider el acceso inicial?
Principalmente a través de smishing, vishing y phishing para recopilar credenciales y persuadir a los agentes del servicio de asistencia para que restablezcan la AMF/autenticación.
¿Qué tipo de malware o herramientas utiliza Scattered Spider ?
Utilizan una mezcla de herramientas RMM comerciales (por ejemplo, AnyDesk), ransomware (por ejemplo, Alphv, Qilin) y utilidades personalizadas (por ejemplo, CS-Paralyzer, Pumpy).
¿Las operaciones de Scattered Spider Spider están totalmente automatizadas?
No. Utilizan kits de phishing automatizados, pero la mayoría de sus operaciones posteriores al acceso dependen de acciones manuales de los operadores.
¿Puede la AMF tradicional proteger contra Scattered Spider?
No de forma fiable. Utilizan el intercambio de SIM, la fatiga MFA y el abuso SSPR para eludir las protecciones MFA.
¿Qué técnicas de detección pueden ayudar?
El despliegue de una sólida solución de detección y respuesta de red (NDR ) es fundamental para identificar e interrumpir la actividad de SCATTERED SPIDER. La NDR puede detectar movimientos laterales, comunicaciones C2 y patrones inusuales de exfiltración de datos en el tráfico este-oeste y norte-sur, incluso cuando los adversarios utilizan herramientas legítimas como RDP, PSExec o túneles cifrados (por ejemplo, Chisel, Plink).
¿Qué son las señales de peligro?
El uso de servicios de intercambio de archivos (por ejemplo, file.io), conexiones RMM inusuales y restablecimientos de MFA iniciados por el servicio de asistencia de TI son indicadores comunes.
¿Cómo mantiene la persistencia Scattered Spider ?
A través de bootkits, tareas programadas, nuevas inscripciones MFA y herramientas de seguridad deshabilitadas.
¿Usa Scattered Spider Spider ransomware siempre?
No siempre. En algunos casos, su objetivo es el robo de datos y la extorsión sin despliegue de ransomware.