L’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) i l’Oficina Federal d’Investigacions (FBI) han publicat un assessorament conjunt actualitzat de ciberseguretat que detalla les tàctiques sofisticades emprades pel grup cibercriminal Scattered Spider, també conegut com a UNC3944, Oktapus i Storm-0875.

Aquest actor de l’amenaça ha evolucionat significativament des de la seva identificació inicial, i ara s’adreça a grans empreses i als seus serveis d’ajuda de tecnologia de la informació contractada amb tècniques d’enginyeria social i capacitats de desplegament de programari de segrest cada cop més sofisticades.

Scattered Spider representa una evolució especialment perillosa en la ciberdelinqüència, que combina l’enginyeria social tradicional amb capacitats tècniques avançades per incomplir objectius d’alt valor en instal·lacions comercials i sectors d’infraestructures crítiques.

Les operacions del grup van més enllà del simple robatori de dades, que inclou operacions completes d’extorsió de dades que aprofiten tant la informació robada com el xifratge de programari de segrest per maximitzar l’impacte financer sobre les víctimes.

Analistes CISA han identificat que Scattered Spider recentment ha ampliat el seu arsenal i ha inclòs el programari de segrest DragonForce juntament amb les tècniques tradicionals d’exfiltració de dades, cosa que ha marcat una escalada significativa en el perfil d’amenaces del grup.

Els actors de l’amenaça demostren una capacitat d’adaptació notable, i modifiquen amb freqüència les seves tàctiques, tècniques i procediments per evadir la detecció mentre mantenen un accés persistent a xarxes compromeses.

La metodologia d’accés inicial del grup es basa en gran manera en múltiples capes de campanyes d’enginyeria social dirigides tant als empleats com al personal de suport informàtic.

En lloc d’implementar campanyes de pesca àmplies, Scattered Spider du a terme un ampli reconeixement mitjançant llocs web d’empresa a empresa, plataformes de xarxes socials i recopilació d’intel·ligència de codi obert per identificar objectius d’alt valor dins de les organitzacions.

Enginyeria social avançada i mecanismes de persistència

La característica més distintiva de Scattered Spider rau en el seu enfocament sofisticat d’enginyeria social, que els investigadors de CISA van assenyalar que ha evolucionat per incloure el que anomenen atacs de «bombardeig push» juntament amb les tècniques tradicionals d’intercanvi de mòduls d’identitat de subscriptor (SIM).

Els actors de l’amenaça recopilen meticulosament informació d’identificació personal de diverses fonts, incloses eines d’intel·ligència comercial i filtracions de bases de dades, per elaborar escenaris convincents de suplantació d’identitat.

L’estratègia de persistència del grup consisteix a registrar els seus propis testimonis d’autenticació multifactorial després de comprometre amb èxit els comptes d’usuari, i establir amb eficàcia un accés de porta del darrere que sobreviu al restabliment de la contrasenya.

Aquesta tècnica es complementa amb el desplegament de monitoratge remot legítim i eines de gestió com ara TeamViewer, Screenconnect i eines recentment identificades com Teleport.sh i AnyDesk, que es combinen perfectament amb les operacions informàtiques normals.

El seu arsenal tècnic inclou tant eines legítimes reutilitzades per a activitats malicioses com variants personalitzades de programari maliciós.

Investigacions recents van revelar l’ús de RattyRAT, un troià d’accés remot basat en Java dissenyat per a un accés sigil·lós i persistent i reconeixement intern, juntament amb robatoris d’informació establerts com ara Raccoon Stealer i VIDAR Stealer.

Els actors de l’amenaça demostren una consciència de seguretat operativa excepcional en supervisar activament les comunicacions internes de les organitzacions objectiu mitjançant comptes compromesos de Slack, Microsoft Teams i Exchange Online.

Aquesta capacitat de vigilància els permet unir-se a les trucades de resposta a incidents i adaptar de manera proactiva les seves tàctiques en resposta a mesures defensives, fent que els enfocaments tradicionals de caça d’amenaces siguin significativament menys efectius.