Scattered Spider, un conocido grupo de ciberdelincuentes, ha aumentado recientemente su arsenal al incorporar RansomHub y Qilin Ransomware en sus ataques. Esta evolución en sus tácticas no solo muestra una mayor sofisticación, sino que también presenta nuevos desafíos para las empresas que buscan proteger sus datos. En este artículo, exploraremos cómo estos métodos están siendo utilizados y qué pasos se pueden tomar para mitigar los riesgos asociados.
Microsoft ha revelado que el infame grupo de ciberdelincuentes conocido como Scattered Spider ha incorporado nuevas cepas de ransomware, como RansomHub y Qilin, a su arsenal. Este grupo, famoso por sus sofisticados esquemas de ingeniería social, se dedica a vulnerar objetivos, establecer persistencia, y robar datos. Además, tiene un historial de atacar servidores VMWare ESXi e implementar el ransomware BlackCat.
Scattered Spider comparte similitudes con otros grupos rastreados por la comunidad de ciberseguridad bajo nombres como 0ktapus, Octo Tempest y UNC3944. El mes pasado, se informó que un miembro clave del grupo fue arrestado en España.
RansomHub, que emergió a principios de febrero, ha sido evaluado por Symantec (propiedad de Broadcom) como una nueva variante de otro ransomware conocido como Knight. Microsoft señaló que RansomHub es una carga útil de ransomware como servicio (RaaS) utilizada cada vez más por actores de amenazas, incluidos aquellos que antes empleaban ransomware obsoleto como BlackCat, convirtiéndose en una de las familias de ransomware más extendidas en la actualidad.
Microsoft también observó que RansomHub se implementaba durante las actividades posteriores al compromiso por parte de Manatee Tempest (también conocido como DEV-0243, Evil Corp o Indrik Spider), después de que Mustard Tempest (también conocido como DEV-0206 o Purple Vallhund) obtuviera acceso inicial a través de infecciones de FakeUpdates (también conocido como Socgholish).
Cabe destacar que Mustard Tempest es un agente de acceso inicial que ha utilizado FakeUpdates en el pasado, conduciendo a acciones similares a las asociadas con Evil Corp antes de los ataques de ransomware. Estas intrusiones también son notables porque FakeUpdates se distribuyó a través de infecciones previas de Raspberry Robin.
Conoce más sobre: Scattered Spider: Perfil en la Dark Web
La banda de ciberdelincuentes de habla inglesa también cifró los sistemas de MGM Resorts después de unirse como afiliado del ransomware BlackCat/ALPHV a mediados de 2023, y Symantec la vinculó con el ransomware como servicio RansomHub.
En noviembre, el FBI y la CISA emitieron un aviso destacando las tácticas, técnicas y procedimientos (TTP) de Scattered Spider. Entre estas tácticas se incluye hacerse pasar por trabajadores de TI para engañar al personal de atención al cliente y obtener credenciales, así como utilizar herramientas de acceso remoto para mantener persistencia en las redes objetivo.
Otras técnicas que emplean para obtener acceso inicial a las redes incluyen phishing, bombardeo MFA (conocido también como fatiga MFA) e intercambio de SIM.
La incursión de Scattered Spider en los ataques de ransomware
La operación de ransomware Qilin, a la que recientemente se unió Scattered Spider, surgió en agosto de 2022 bajo el nombre "Agenda" y fue renombrada como Qilin en septiembre de ese mismo año. En los últimos dos años, Qilin ha reivindicado más de 130 empresas en su sitio de filtraciones en la dark web, aunque sus operadores no estuvieron activos hasta que los ataques comenzaron hacia fines de 2023.
Desde diciembre de 2023, Qilin ha estado desarrollando uno de los cifradores de Linux más avanzados y personalizables, enfocados en las máquinas virtuales VMware ESXi, que son preferidas por las organizaciones empresariales debido a sus necesidades de recursos livianos.
Al igual que muchos otros grupos de ransomware que atacan a empresas, los operadores de Qilin se infiltran en las redes corporativas y extraen datos a medida que avanzan por los sistemas de la víctima. Después de obtener las credenciales de administrador y recopilar todos los datos confidenciales, implementan las cargas útiles del ransomware para cifrar todos los dispositivos en la red, utilizando los datos robados para llevar a cabo ataques de doble extorsión.
Hasta ahora, se han visto demandas de rescate de Qilin que oscilan desde $25,000 hasta millones de dólares, dependiendo del tamaño de la víctima.
El mes pasado, el director ejecutivo del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido vinculó a Qilin con un ataque de ransomware que afectó al proveedor de servicios de patología Synnovis a principios de junio, impactando a varios hospitales importantes del NHS en Londres y obligándolos a cancelar cientos de operaciones y citas.
Te podría interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
Para mitigar el riesgo de ataques de ransomware, las organizaciones deben adoptar un enfoque proactivo en ciberseguridad. A continuación, se presentan algunas recomendaciones clave:
1. Educación y Concienciación: Capacitar a los trabajadores sobre las mejores prácticas de ciberseguridad y la identificación de intentos de phishing es crucial para prevenir el acceso inicial de los atacantes.
2. Actualización de Software: Mantener todo el software y los sistemas operativos actualizados con los últimos parches de seguridad puede ayudar a cerrar las vulnerabilidades que los atacantes podrían explotar.
3. Copias de Seguridad Regulares: Realizar copias de seguridad regulares de los datos críticos y almacenarlas en ubicaciones seguras y desconectadas puede facilitar la recuperación en caso de un ataque de ransomware.
4. Implementación de Políticas de Privilegios Mínimos: Restringir los privilegios de usuario y asegurar que solo el personal autorizado tenga acceso a sistemas críticos puede limitar la capacidad de los atacantes para moverse lateralmente y escalar privilegios.
5. Monitoreo y Detección: Utilizar soluciones avanzadas de monitoreo y detección de amenazas, como un SOC como Servicio, puede ayudar a identificar y responder rápidamente a actividades sospechosas en la red.
6. Plan de Respuesta a Incidentes: Desarrollar y probar regularmente un plan de respuesta a incidentes que incluya procedimientos específicos para enfrentar ataques de ransomware puede ayudar a minimizar el impacto y acelerar la recuperación.
Conoce más sobre: ¿Cómo Desarrollar un Plan de Respuesta a Incidentes?
La adopción de RansomHub por parte de Scattered Spider representa una evolución peligrosa en el panorama de las amenazas cibernéticas. La capacidad de estos actores maliciosos para lanzar ataques sofisticados y bien coordinados utilizando plataformas de RaaS subraya la necesidad de que las organizaciones adopten un enfoque integral y proactivo en ciberseguridad. Al implementar las medidas de protección adecuadas y mantener una vigilancia constante, las empresas pueden reducir significativamente el riesgo de ser víctimas de ataques de ransomware y proteger sus activos más valiosos.
Contar con un SOC puede ser la clave para que las empresas detecten y respondan de manera ágil a amenazas como Scattered Spider y Qilin, protegiendo así sus datos críticos y asegurando la continuidad de sus operaciones. ¡No pierdas tiempo, fortalece tu ciberseguridad desde hoy mismo!