(https://i.imgur.com/RZBdquk.jpeg)
El ecosistema del cibercrimen global no deja espacio para la complacencia. Una reciente investigación de ReliaQuest reveló que el grupo de ciberdelincuentes Scatter Spider, conocido por sus sofisticadas operaciones y vínculos con colectivos como ShinyHunters y LAPSUS$, ha lanzado una nueva ola de ataques dirigidos contra servicios financieros. Estos hallazgos contradicen la supuesta retirada del grupo, evidenciando que su inactividad era más bien una cortina de humo estratégica.
Cambio de objetivo: del sector tecnológico al financieroScatter Spider, también identificado en la dark web como parte de la comunidad The Com, ha concentrado ahora sus esfuerzos en el sector financiero, un blanco particularmente atractivo por el volumen y sensibilidad de la información que gestiona.
De acuerdo con ReliaQuest, la organización ha registrado un aumento en la creación de dominios falsos y ha ejecutado al menos una intrusión confirmada en una entidad bancaria estadounidense, lo que marca un cambio en sus operaciones previas enfocadas en otros sectores estratégicos.
Técnica inicial: ingeniería social y acceso a credencialesEl vector de acceso inicial observado en esta campaña consistió en ingeniería social dirigida a un alto ejecutivo, cuya cuenta fue comprometida mediante el restablecimiento de contraseña a través de Azure Active Directory Self-Service Password Management.
Una vez dentro del entorno corporativo, los atacantes accedieron a documentos confidenciales de TI y seguridad, lo que les permitió:
- Moverse lateralmente a través de Citrix y VPN.
- Comprometer la infraestructura de VMware ESXi para volcar credenciales.
- Escalar privilegios restableciendo contraseñas de cuentas de servicio críticas.
Estas tácticas demuestran una capacidad operativa avanzada y un profundo conocimiento de entornos corporativos complejos.
Persistencia y evasión: Veeam, Azure y la nube en la miraUno de los pasos más críticos en la intrusión fue la manipulación de la infraestructura de copias de seguridad y servicios en la nube. Según ReliaQuest, Scatter Spider:
- Restableció credenciales de una cuenta de servicio de Veeam, lo que facilitó el acceso a datos sensibles.
- Asignó permisos de administrador global en Azure, logrando control total sobre la nube corporativa.
- Reubicó máquinas virtuales en entornos de VMware para evadir detección.
- Intentó extraer información de Snowflake, AWS y otros repositorios críticos.
Estas técnicas refuerzan la idea de que el grupo combina tácticas de ransomware con un modelo híbrido de espionaje financiero y exfiltración de datos.
¿Retiro real o estrategia de encubrimiento?El resurgimiento de Scatter Spider cuestiona directamente las afirmaciones previas de que el grupo había decidido "irse a la oscuridad" junto con otros colectivos cibernéticos. De hecho, la superposición operativa con LAPSUS$ y ShinyHunters sugiere que más que un retiro, estamos frente a una reconfiguración estratégica.
Karl Sigler, gerente de investigación de seguridad en SpiderLabs Threat Intelligence (Trustwave), advierte que la supuesta disolución debe interpretarse con escepticismo:
Citar"La carta de despedida de Scatter Spider parece más bien un retiro estratégico, diseñado para distraer a las fuerzas del orden y ganar tiempo mientras el grupo refina sus operaciones".
Factores detrás del "retiro temporal"Los expertos plantean que la pausa pública del grupo pudo originarse en:
- Compromiso de su infraestructura interna (sistemas infiltrados o canales de comunicación expuestos).
- Arresto o neutralización de afiliados de bajo nivel, lo que pudo afectar la operación temporalmente.
- Presión creciente de fuerzas del orden en EE. UU. y Europa.
Históricamente, grupos similares han recurrido a la táctica de "retirarse" para reagruparse y reaparecer con un nuevo alias, dificultando la atribución y complicando las investigaciones.
Riesgos para el sector financieroLa reaparición de Scatter Spider confirma que los servicios financieros son uno de los sectores más amenazados por el cibercrimen global. Los riesgos principales incluyen:
- Robo de credenciales de acceso administrativo.
- Exfiltración de datos confidenciales de clientes y operaciones.
- Posible extorsión con técnicas similares a las de los grupos de ransomware-as-a-service (RaaS).
- Compromiso de infraestructura crítica en la nube.
Esto obliga a las entidades financieras a reforzar la seguridad en áreas clave como: gestión de identidades y accesos (IAM), protección de entornos cloud híbridos, monitoreo de anomalías en credenciales privilegiadas y respuesta ante incidentes de alta complejidad.
Scatter Spider no se ha ido, solo mutaEl caso de Scatter Spider es un recordatorio de que en el cibercrimen organizado no existe la jubilación real. La evidencia apunta a que el grupo no se ha desintegrado, sino que ha adoptado una estrategia de silencio mediático mientras ajusta sus operaciones y diversifica sus objetivos.
En un contexto en el que las instituciones financieras representan un objetivo de alto valor, es imperativo que las organizaciones adopten un enfoque de ciberseguridad proactiva, reforzando sus defensas frente a ataques basados en ingeniería social, accesos no autorizados a la nube y exfiltración de datos.
La supuesta retirada de Scatter Spider es, en realidad, un aviso disfrazado: los actores siguen activos, pero más selectivos y sofisticados en su accionar.
Fuente: https://thehackernews.com/