AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Scattered Spider intensifica sus ataques: del sector retail global al asalto masivo contra aseguradoras estadounidenses**

admin

### 1. Introducción

El grupo de amenazas persistentes avanzadas (APT) conocido como Scattered Spider ha modificado recientemente su foco operativo, desplazando sus campañas de intrusión desde grandes cadenas minoristas a compañías de seguros establecidas en Estados Unidos. Este cambio estratégico, lejos de ralentizar su actividad, ha supuesto una sofisticación de sus tácticas y un incremento en la intensidad de sus ataques. A continuación, analizamos en profundidad las últimas técnicas, tácticas y procedimientos (TTPs) de esta amenaza, así como las implicaciones y medidas de defensa recomendadas para profesionales de ciberseguridad en empresas de todos los tamaños.

### 2. Contexto del Incidente o Vulnerabilidad

Scattered Spider, también conocido por los identificadores UNC3944 o Muddled Libra, se ha consolidado como un grupo de cibercriminales altamente organizado y con una capacidad probada para adaptarse rápidamente al entorno objetivo. Tradicionalmente asociados a ataques contra el sector retail internacional, durante el primer semestre de 2024 han sido identificados como responsables de múltiples campañas dirigidas específicamente a aseguradoras estadounidenses, sector crítico por la sensibilidad de los datos que gestiona.

Los analistas de amenazas han evidenciado que Scattered Spider utiliza una combinación de ingeniería social, ataques de phishing dirigidos (spear phishing) y explotación de debilidades en la autenticación multifactor (MFA) para obtener acceso inicial, persistencia y movimiento lateral en entornos corporativos. Según datos de la industria, al menos un 18% de las aseguradoras de Estados Unidos han reportado incidentes vinculados a las TTPs de este grupo en los últimos seis meses.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**Vectores de ataque y técnicas asociadas:**

– **Ingeniería social avanzada**: Scattered Spider destaca por campañas de vishing (voice phishing) y smishing (SMS phishing) dirigidas a empleados de help desk, explotando la confianza y la urgencia para obtener credenciales o tokens de restablecimiento de MFA.
– **Bypass de MFA**: Utilizan técnicas de prompt bombing, push fatigue y manipulación directa de los sistemas de soporte para obtener acceso incluso en entornos protegidos por MFA. Se han documentado ataques aprovechando la CVE-2023-23397 (relacionada con Microsoft Outlook) para obtener hashes NTLM y facilitar movimiento lateral.
– **Uso de frameworks**: Han empleado herramientas como Cobalt Strike, Metasploit y, en ocasiones, el kit de acceso remoto AnyDesk para establecer canales de comando y control (C2).
– **TTPs según MITRE ATT&CK**:
– **Initial Access (T1566.001 – Spearphishing Attachment; T1078 – Valid Accounts)**
– **Persistence (T1136 – Create Account; T1546.003 – Windows Service)**
– **Privilege Escalation (T1078.002 – Domain Accounts)**
– **Defense Evasion (T1036 – Masquerading)**
– **Lateral Movement (T1021.002 – SMB/Windows Admin Shares)**
– **Indicadores de compromiso (IoCs)**: Dominios de phishing que simulan portales internos de aseguradoras, IPs asociadas a ataques recientes, y firmas de Cobalt Strike previamente no documentadas.

### 4. Impacto y Riesgos

El cambio de objetivo de Scattered Spider hacia aseguradoras estadounidenses supone una amenaza significativa. La exposición de datos personales y financieros puede derivar en graves incumplimientos de la GDPR (en caso de datos de ciudadanos europeos) y la legislación estadounidense (HIPAA, GLBA). Además, la interrupción operativa por ataques de ransomware o exfiltración de datos puede suponer pérdidas económicas cercanas a los 5,2 millones de dólares por incidente, según estimaciones recientes del sector.

El grupo muestra una clara preferencia por el secuestro de cuentas privilegiadas, lo que incrementa el riesgo de ataques supply chain, movimiento lateral y escalada de privilegios. Según el último informe de IBM, los ataques de MFA bypass han aumentado un 35% en 2024 respecto al año anterior.

### 5. Medidas de Mitigación y Recomendaciones

– **Fortalecimiento de la MFA**: Implementar autenticación basada en hardware (FIDO2) y evitar sistemas solo por push notification.
– **Concienciación y formación**: Programas regulares de simulacros de phishing y vishing para empleados, especialmente equipos de help desk.
– **Monitoreo avanzado**: Implantar soluciones EDR/XDR y SIEM con reglas específicas para detección de uso anómalo de herramientas como Cobalt Strike y Metasploit.
– **Revisión de logs y alertas**: Auditar accesos sospechosos y correlacionar eventos relacionados con movimientos laterales y creación de cuentas.
– **Zero Trust**: Aplicar políticas de privilegios mínimos y segmentación de red.
– **Plan de respuesta a incidentes**: Revisar y actualizar procedimientos, incluyendo la notificación a autoridades conforme a GDPR y NIS2.

### 6. Opinión de Expertos

Analistas de Mandiant y CrowdStrike coinciden en que la capacidad de adaptación de Scattered Spider y su dominio de la ingeniería social les sitúan a la vanguardia de las amenazas actuales. “No se trata solo de tecnología, sino de manipulación de procesos humanos y debilidades organizativas”, afirma John Shier, Senior Security Advisor en Sophos. Desde el SANS Institute advierten que el bypass de MFA debe considerarse ya una amenaza recurrente y no residual.

### 7. Implicaciones para Empresas y Usuarios

Las aseguradoras y cualquier organización que gestione datos sensibles deben extremar la vigilancia ante campañas de ingeniería social y sofisticados ataques de MFA bypass. La tendencia al alza de ataques dirigidos a help desk y el uso de herramientas legítimas para persistencia subrayan la necesidad de actualizar políticas de ciberseguridad y reforzar la formación del personal.

El cumplimiento normativo (GDPR, NIS2) exige la notificación temprana de incidentes y la adopción de medidas proactivas de seguridad, bajo riesgo de sanciones económicas y pérdida de confianza de clientes.

### 8. Conclusiones

Scattered Spider representa una amenaza en evolución, capaz de adaptarse y explotar tanto vulnerabilidades técnicas como humanas. La sofisticación de sus TTPs, especialmente en el ámbito del bypass de MFA y el abuso de help desk, exige una respuesta integral que combine tecnología, procesos y concienciación. Solo una vigilancia constante y la actualización de frameworks de defensa permitirán mitigar el riesgo y anticipar futuras campañas de este actor.

(Fuente: www.bleepingcomputer.com)