CISA y el FBI advierten sobre la experiencia de Scattered Spider en ingeniería social e intercambio de SIM

Los principales funcionarios de ciberseguridad de EE. UU. publicaron el jueves una severa advertencia sobre un grupo de piratas informáticos que han perturbado algunas de las empresas más grandes del país mediante ingeniería social y otras tácticas.

El grupo de hackers Araña dispersa – también conocido por una variedad de otros nombres, incluidos Starfraud, UNC3944, Scatter Swine y Muddled Libra – ha aparecido en los titulares en los últimos meses por presuntos ataques a gigantes de los casinos. Hoteles MGM y Entretenimiento César.

En un aviso y mesa redonda de prensa el jueves, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregaron a la investigación hecho por la ciberseguridad expertos sobre cómo opera el grupo.

Altos funcionarios del FBI se mantuvieron callados sobre si los rumores de que Scattered Spider tenía miembros en los EE. UU. y el Reino Unido eran exactos y se negaron a decir cuántas víctimas del grupo se habían presentado.

Pero los funcionarios del FBI hicieron referencias indirectas a varias operaciones recientes de aplicación de la ley dirigidas a grupos de piratas informáticos en los últimos meses y dijeron que el FBI está involucrado en una “investigación en curso” sobre el grupo y no puede hablar sobre posibles arrestos.

“Si nos fijamos en algunas de las cosas que hemos estado haciendo durante el último año, desde Hive, Genesis Market, BreachForums y el arresto que tuvimos, hasta Quakbot, simplemente porque no se ven acciones que se están tomando. “Esto no significa que no se estén tomando medidas”, dijeron los altos funcionarios del FBI. “Así que hay muchas cosas que hacemos detrás de escena”.

En la llamada y en el aviso, el FBI y CISA respaldaron informes anteriores que decían que Scattered Spider se ha convertido en un experto en manipular a los empleados para que entreguen credenciales confidenciales o acceso a cuentas haciéndose pasar por trabajadores de la mesa de ayuda y funcionarios de TI.

El grupo utiliza una variedad de tácticas, que incluyen phishing, push bombing y ataques de intercambio de SIM, para ingresar antes de filtrar datos. En los últimos meses, el grupo también ha implementado el ransomware AlphV/Black Cat durante los ataques.

Los funcionarios dijeron que el aviso y la mesa redonda son parte de un esfuerzo del gobierno de EE. UU. para “aumentar la presión” sobre las bandas de ransomware. También instaron a más víctimas a presentarse, explicando que cuanta más información puedan recopilar, más probabilidades tendrán de detectar errores del grupo y potencialmente detenerlos en el futuro.

El funcionario del FBI señaló que después de la operación para derribar la infraestructura de la banda de ransomware Hive, descubrieron que solo alrededor del 20% de las víctimas del grupo alguna vez se presentaron, lo que ilustra la profunda falta de información que tiene el gobierno sobre la profundidad del problema del ransomware. .

El aviso, que fue compilado a partir de investigaciones del FBI tan recientemente como este mes, dice que Scattered Spider ha lanzado varios ataques contra los sectores y subsectores de instalaciones comerciales.

“Scattered Spider es un grupo cibercriminal que apunta a grandes empresas y sus servicios de asistencia técnica de tecnología de la información (TI) contratados”, escribieron.

“Los actores de amenazas Scattered Spider son considerados expertos en ingeniería social y utilizan múltiples técnicas de ingeniería social, especialmente phishing, push bombing y ataques de intercambio de módulo de identidad de suscriptor (SIM), para obtener credenciales, instalar herramientas de acceso remoto y/o evitar múltiples factores. autenticación (MFA)”.

Los miembros del grupo han podido convencer a los empleados de las empresas víctimas para que ejecuten herramientas comerciales de acceso remoto o compartan contraseñas de un solo uso.

En otros casos, enviaron múltiples notificaciones pidiendo a los empleados que simplemente presionaran el botón “Aceptar” o convencieron a los operadores de telefonía celular para que transfirieran el control del número de teléfono de un usuario objetivo a una tarjeta SIM que ellos controlaban.

En varios casos, los piratas informáticos han extraído datos y amenazado con publicarlos sin siquiera implementar ransomware.

“Una vez que se establece la persistencia en una red objetivo, los actores de amenazas Scattered Spider a menudo realizan descubrimientos, específicamente buscando sitios de SharePoint, documentación de almacenamiento de credenciales, infraestructura de VMware vCenter, copias de seguridad e instrucciones para configurar/iniciar sesión en redes privadas virtuales (VPN)”. CISA y el FBI dijeron.

Para ver si se han descubierto sus acciones, se ha visto al grupo buscando en Slack, Microsoft Teams y Microsoft Exchange en línea correos electrónicos o conversaciones sobre si se ha descubierto la intrusión.

El aviso dice que los piratas informáticos de Scattered Spider “con frecuencia se unen a llamadas y teleconferencias de respuesta y reparación de incidentes, probablemente para identificar cómo los equipos de seguridad los están cazando y desarrollar proactivamente nuevas vías de intrusión en respuesta a las defensas de las víctimas”.

Esto a veces se logra mediante la creación de nuevas identidades en el entorno y, a menudo, se respalda con perfiles falsos en las redes sociales para respaldar las identidades recién creadas”, explicaron.

en un Washington Post en vivo En un evento celebrado en septiembre, la Fiscal General Adjunta Lisa Monaco habló extensamente sobre el fenómeno de personas relativamente jóvenes que se unen a grupos de hackers como Scattered Spider, Lapsus$ y otros, advirtiendo que es necesario hacer más para contrarrestar esta tendencia.

“Este fenómeno de piratería juvenil no es diferente de lo que vimos en el panorama del terrorismo: individuos radicalizados en línea”, dijo. “¿Y cómo abordamos eso nosotros, como gobierno federal, como empresa federal de seguridad nacional? ¿Cómo ayudamos a nuestros socios estatales y locales a abordar eso?”

Inicialmente, el grupo se hizo un nombre con varios ataques de alto perfil, incluido uno contra Coinbase en febrero. A informe de la empresa de ciberseguridad Group-IB dijo que una reciente campaña de phishing del grupo resultó en 9.931 cuentas de más de 136 organizaciones comprometidas, incluidas Juegos antidisturbios y Reddit.