El grupo de hackers conocido como Scattered Spider está llevando a cabo una campaña agresiva contra entornos virtualizados, apuntando directamente a hipervisores VMware ESXi utilizados por empresas en sectores clave como el minorista, aéreo, transporte y seguros en Estados Unidos.
Según el Grupo de Inteligencia de Amenazas de Google (GITG), estos atacantes no se apoyan en vulnerabilidades técnicas ni exploits sofisticados. En su lugar, siguen usando lo que mejor saben hacer: ingeniería social precisa y bien ejecutada que les permite burlar incluso a los sistemas de seguridad más avanzados. En otras palabras, están entrando por la puerta principal... porque alguien se las abre sin saberlo.
Todo comienza con una llamada que parece inofensiva: un atacante se hace pasar por un trabajador y contacta al equipo de soporte técnico o mesa de ayuda. El objetivo es claro: convencer al agente de TI para que restablezca la contraseña de Active Directory del supuesto usuario. Si lo logran, obtienen el acceso inicial que necesitan para infiltrarse en la red.
Una vez dentro, Scattered Spider se mueve con precisión. Empiezan a escanear los dispositivos de red en busca de documentación interna que les ayude a identificar objetivos de alto valor, como nombres de administradores de dominio, configuraciones de VMware vSphere o grupos de seguridad con permisos elevados sobre el entorno virtual.
Y no se detienen ahí. Al mismo tiempo, buscan herramientas de gestión de accesos privilegiados (PAM), donde muchas empresas almacenan datos sensibles. Estas plataformas pueden contener credenciales o información crítica que les facilita el acceso a activos clave de la red.
"Armados con el nombre de un administrador específico y de alto valor, hacen llamadas adicionales a la mesa de ayuda. Esta vez, se hacen pasar por el usuario privilegiado y solicitan un restablecimiento de contraseña, lo que les permite tomar el control de una cuenta privilegiada" - Google Threat Intelligence Group
Después de obtener acceso inicial, Scattered Spider no pierde el tiempo. Su siguiente paso es apuntar al VMware vCenter Server Appliance (vCSA), una máquina virtual crítica que permite administrar todo el entorno VMware vSphere, incluidos los hipervisores ESXi que controlan las máquinas virtuales (VMs) en los servidores físicos.
Tener acceso a vCSA es como tener las llaves de un castillo. Con este control, los atacantes pueden habilitar conexiones SSH en los hosts ESXi, restablecer contraseñas de root y, básicamente, hacer lo que quieran dentro del entorno virtual.
Uno de los ataques más avanzados que ejecutan en esta etapa es conocido como "intercambio de disco". ¿Cómo funciona? Apagan una máquina virtual que actúa como controlador de dominio, desconectan su disco virtual y luego lo conectan a otra VM que ya tienen comprometida. Desde ahí, copian datos críticos, como el archivo NTDS.dit, que contiene la base de datos de Active Directory con todas las contraseñas y cuentas del dominio. Una vez que tienen lo que necesitan, reconectan el disco a la máquina original y la vuelven a encender, como si nada hubiera pasado.
Este nivel de acceso también les permite gestionar toda la infraestructura virtual. Pueden modificar, borrar o incluso ocultar máquinas de respaldo, eliminar trabajos de respaldo programados, snapshots y hasta los repositorios de recuperación. Básicamente, pueden dejar a una empresa sin forma de recuperarse si no paga.
En la fase final del ataque, Scattered Spider utiliza el acceso SSH que habilitaron anteriormente para subir e instalar archivos de ransomware. Su objetivo: cifrar todos los archivos relacionados con máquinas virtuales almacenados en los datastores del entorno.
Según investigadores del Grupo de Inteligencia de Amenazas de Google (GTIG), el enfoque de Scattered Spider sigue un modelo de cinco etapas bien definido, que les permite pasar de un simple acceso de usuario a un control absoluto del hipervisor. Es un ataque meticuloso, planeado y ejecutado con precisión quirúrgica.
Cadena de ataque de Scattered Spider (Fuente: Google)
Podría interesarte leer: Nuevo Malware Koske en Linux se Esconde en Imágenes de Pandas
Un ataque completo de Scattered Spider (desde el acceso inicial hasta el robo de datos y la ejecución de ransomware) puede desarrollarse en cuestión de horas. No necesitan explotar vulnerabilidades técnicas. Lo suyo es la ingeniería social: métodos simples, pero altamente efectivos, que les permiten escalar privilegios rápidamente y tomar el control completo de entornos VMware sin activar alarmas tradicionales.
Según el Grupo de Inteligencia de Amenazas de Google (GTIG), el grupo logra “un nivel de control sin precedentes sobre entornos virtualizados”, lo que les permite evadir muchas de las medidas de seguridad convencionales implementadas en máquinas virtuales invitadas.
Y aunque los ataques a hipervisores ESXi no son nuevos (recordemos el caso de alto perfil de MGM Resorts en 2023, también vinculado a este grupo), lo preocupante es que cada vez más grupos de ransomware están replicando esta táctica. GTIG advierte que esta tendencia irá en aumento.
Una de las razones por las que VMware se ha convertido en un objetivo tan atractivo es que, en muchas organizaciones, su infraestructura virtualizada no está completamente entendida ni protegida. Muchas veces queda fuera del radar de los equipos de seguridad, lo que la convierte en un blanco fácil.
Para ayudar a las organizaciones a mitigar este tipo de amenazas, Google publicó una guía técnica con recomendaciones prácticas para detectar y detener estos ataques antes de que sea demasiado tarde. Estas acciones se pueden resumir en tres pilares fundamentales:
Habilita execInstalledOnly para limitar la ejecución de binarios desconocidos.
Cifra las máquinas virtuales sensibles.
Desactiva el acceso SSH y evita que los hosts ESXi se unan directamente a Active Directory.
Elimina máquinas virtuales huérfanas y aplica políticas estrictas de acceso, con autenticación multifactor (MFA).
Supervisa continuamente cambios en la configuración.
Implementa MFA resistente a la suplantación en sistemas clave como VPN, Active Directory y vCenter.
Aísla los activos de nivel 0 (como controladores de dominio, copias de seguridad y herramientas PAM).
Considera usar proveedores de identidad en la nube independientes, para reducir la dependencia de AD en entornos comprometidos.
Centraliza los registros en una plataforma SIEM y configura alertas para detectar:
Cambios en los grupos de administración
Inicios de sesión sospechosos en vCenter
Habilitación de SSH en hosts
Implementa copias de seguridad inmutables y aisladas (por ejemplo, con soluciones como TecnetProtect Backup) y realiza pruebas frecuentes de recuperación ante incidentes, especialmente aquellos que comprometan la capa del hipervisor.
También conocido como UNC3944, Octo Tempest o 0ktapus, Scattered Spider es un grupo de amenaza motivada por ganancias económicas. Lo que los hace especialmente peligrosos es su dominio de la ingeniería social: pueden hacerse pasar por trabajadores reales, usando el lenguaje y hasta el acento de la empresa objetivo. Esta habilidad les ha permitido evadir controles internos y acceder a entornos protegidos sin necesidad de malware sofisticado.
En los últimos meses, han intensificado sus operaciones, apuntando a grandes minoristas del Reino Unido, aerolíneas, empresas de transporte y aseguradoras.
Aunque las autoridades británicas (como la Agencia Nacional del Crimen del Reino Unido (NCA)) arrestaron recientemente a cuatro presuntos miembros del grupo, la actividad maliciosa no ha cesado. De hecho, otros grupos parecen haber adoptado sus métodos, lo que sugiere que Scattered Spider no es solo una entidad aislada, sino parte de una tendencia creciente entre grupos de ransomware.
Conoce más sobre: Grupos de Ransomware más Activos en Junio 2025: Qilin Lidera la Lista
Los ataques de Scattered Spider son un recordatorio urgente: la seguridad de la infraestructura virtual es tan crítica como la del software o el hardware tradicional. La combinación de ingeniería social, acceso mal gestionado y configuraciones débiles crea una tormenta perfecta que puede dejar a cualquier empresa sin defensas.
Afortunadamente, no todo está perdido. Con controles proactivos, monitoreo efectivo y una estrategia de seguridad bien definida, las empresas pueden detectar estas amenazas a tiempo y minimizar el impacto.
Parte clave de esa estrategia es contar con soluciones de respaldo seguras, inmutables y diseñadas para entornos virtuales. Herramientas como TecnetProtect Backup, permiten combinar protección contra ransomware, copias de seguridad automatizadas y recuperación rápida, incluso ante ataques a nivel de hipervisor.
Recuerda: no proteger tu entorno VMware es como dejar la puerta trasera abierta. Y hoy en día, eso es todo lo que un grupo como Scattered Spider necesita.