AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales con tácticas de Scattered Spider amplían sus ataques a sectores de aviación y transporte**

admin

### Introducción

El grupo de amenazas conocido por emplear tácticas de Scattered Spider ha diversificado recientemente su espectro de objetivos, dirigiendo sofisticados ataques contra organizaciones de los sectores de aviación y transporte. Esta evolución en la selección de víctimas supone un cambio significativo respecto a campañas anteriores, centradas principalmente en compañías de seguros y grandes retailers. El aumento en la frecuencia y el alcance de estos incidentes pone en alerta a CISOs, equipos SOC y responsables de seguridad TIC de infraestructuras críticas, dada la criticidad y las implicaciones regulatorias de los sectores ahora afectados.

### Contexto del Incidente o Vulnerabilidad

Scattered Spider, también identificado en algunos informes como UNC3944 o Muddled Libra, es un actor de amenazas avanzado (APT) que ha ganado notoriedad por su habilidad para el spear phishing, la manipulación de identidades y la explotación de servicios legítimos en la nube. Los nuevos ataques detectados a partir de mayo de 2024 han tenido como blanco a operadores de infraestructuras aeroportuarias, compañías aéreas y empresas logísticas, aprovechando el cambio de paradigma en la gestión de identidades y el teletrabajo para maximizar sus posibilidades de intrusión.

En campañas anteriores, el grupo se centró en la obtención de credenciales y la explotación lateral de redes internas de aseguradoras y grandes cadenas comerciales. La transición hacia la aviación y el transporte responde, según analistas de amenazas, a la elevada dependencia tecnológica de estos sectores, la abundancia de datos sensibles y la relevancia estratégica de sus operaciones para la economía y la seguridad nacional.

### Detalles Técnicos

El modus operandi de Scattered Spider se basa en técnicas de ingeniería social altamente personalizadas, combinadas con la explotación de vulnerabilidades conocidas y la manipulación de servicios de autenticación. En los incidentes recientes, los atacantes han explotado principalmente fallos en la gestión de identidades y accesos (IAM), así como vulnerabilidades específicas como la CVE-2023-34362 (MOVEit Transfer) y la CVE-2024-21412 (Zero-day en Microsoft Exchange), ambas ampliamente utilizadas en entornos de aviación y logística.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **T1566.001:** Phishing por correo electrónico dirigido a empleados clave, incluyendo a personal de operaciones y mandos intermedios.
– **T1078:** Uso de credenciales válidas obtenidas mediante técnicas de social engineering y compra en mercados clandestinos.
– **T1136:** Creación de nuevas cuentas privilegiadas para persistencia y escalado de privilegios.
– **T1021:** Movimiento lateral a través de RDP y VPNs mal configuradas.
– **T1219:** Abuso de servicios en la nube (Azure, AWS) para la exfiltración de datos y despliegue de cargas maliciosas.

**Indicadores de Compromiso (IoC):**
– Conexiones inusuales a puertos de administración remota (3389/TCP, 5900/TCP).
– Creación de cuentas de usuario fuera del horario laboral habitual.
– Modificaciones en políticas de acceso condicional en Azure AD y AWS IAM.
– Hashes de archivos relacionados con variantes personalizadas de Cobalt Strike y scripts de Metasploit, utilizados para el post-exploit y la persistencia.

### Impacto y Riesgos

Las consecuencias de estos ataques son especialmente graves en los sectores de aviación y transporte, donde la disponibilidad y la integridad de los sistemas son fundamentales para la seguridad operativa. El acceso no autorizado puede derivar en la interrupción de servicios críticos, manipulación de datos sensibles (manifiestos de vuelo, rutas logísticas) y riesgos reputacionales severos.

Según cifras de la ENISA, un 43% de las empresas de transporte afectadas por incidentes de ciberseguridad en 2023 experimentaron interrupciones operativas de más de 12 horas. En términos económicos, el coste medio de una brecha en este tipo de organizaciones supera los 4,5 millones de euros, sin contar las posibles sanciones administrativas por incumplimiento del RGPD o la inminente NIS2.

### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan adoptar una aproximación Zero Trust, reforzando los controles de identidad y privilegios, y desplegando soluciones EDR/XDR capaces de detectar movimientos laterales y patrones de comportamiento anómalos.

**Recomendaciones concretas:**
– Implementar MFA robusto en todos los accesos remotos y paneles de administración.
– Revisar y limitar los permisos en servicios cloud, aplicando el principio de mínimo privilegio.
– Monitorizar la creación y modificación de cuentas privilegiadas.
– Actualizar y parchear de inmediato sistemas afectados por CVE-2023-34362 y CVE-2024-21412.
– Desplegar honeypots y alertas sobre conexiones sospechosas a infraestructuras críticas.

### Opinión de Expertos

Javier Bonilla, analista principal de amenazas en S21sec, advierte: “El salto de Scattered Spider a la aviación y el transporte marca un punto de inflexión; estamos ante operadores con capacidades de APT, pero con motivaciones y velocidad propias del cibercrimen moderno. La colaboración intersectorial y el threat hunting proactivo serán clave en la defensa”.

Por su parte, Marta Sánchez, CISO de una compañía logística, señala la importancia de la concienciación: “La ingeniería social está en el centro de estos ataques. Aumentar la formación y el simulacro de incidentes es tan importante como la tecnología”.

### Implicaciones para Empresas y Usuarios

Para las empresas, el refuerzo de la resiliencia operacional y el cumplimiento normativo (NIS2, RGPD) se convierten en prioridades impostergables. Los usuarios, tanto empleados como clientes finales, deben ser conscientes del valor de sus credenciales y la necesidad de reportar cualquier actividad sospechosa.

El incidente subraya la necesidad de estrategias de respuesta a incidentes ágiles, la colaboración con CERTs nacionales y la inversión en tecnologías de detección y respuesta avanzadas frente a actores de amenazas cada vez más especializados.

### Conclusiones

La expansión de las tácticas de Scattered Spider hacia la aviación y el transporte confirma una tendencia al alza en la sofisticación y diversificación de los ciberataques dirigidos a infraestructuras críticas. Ante un panorama normativo y operacional cada vez más exigente, la anticipación y la defensa en profundidad se consolidan como los pilares de una estrategia eficaz de ciberseguridad.

(Fuente: www.bleepingcomputer.com)