Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), identificó indicadores que destacan la creciente amenaza para las empresas y la aviación por parte de Scattered Spider, un sofisticado grupo de ciberamenazas conocido por su agresiva ingeniería social y phishing dirigido.
Recientes informes de inteligencia han vinculado a Scattered Spider con ciberataques a importantes aerolíneas, como WestJet y Hawaiian Airlines, en particular la filtración de datos de los primeros días de este mes -julio- que afectó a seis millones de clientes de Qantas.
Los analistas de ciberseguridad detectaron tácticas como la fatiga de MFA y el phishing de voz (vishing), que coinciden con los métodos conocidos de Scattered Spider. Por su parte, los investigadores de Check Point han identificado un patrón repetible detrás de las operaciones de phishing de Scattered Spider: más de 500 dominios registrados con convenciones de nomenclatura diseñadas para suplantar portales de inicio de sesión legítimos, como: victimname-sso.com, victimname-servicedesk.com y victimname-okta.com. Ya identificados, conocer estos dominios permiten a las organizaciones monitorear y bloquear proactivamente los intentos de phishing antes de que los atacantes.
¿Quién es Scattered Spider?
La información pública disponible describe a Scattered Spider como activo desde al menos 2022, compuesto principalmente por jóvenes (de 19 a 22 años) de EE. UU. y el Reino Unido. Motivado financieramente, se centra en el ransomware, el robo de credenciales y la infraestructura en la nube, utilizando técnicas avanzadas de ingeniería social, incluyendo la manipulación de MFA y la suplantación de voz.
Su amplia gama de sofisticados métodos de ataque para infiltrarse en sus objetivos y mantener el acceso a largo plazo incluyen el phishing dirigido, intercambio de SIM, fatiga de la autenticación multifactor (MFA) (‘push bombing‘), suplantación de identidad por teléfono y SMS. Scattered Spider
También engaña a los empleados para que instalen herramientas de acceso remoto, captura de contraseñas de un solo uso y obliga a los usuarios a aprobar solicitudes de MFA; y usa herramientas de acceso remoto como Fleetdeck.io, Level.io, Ngrok y Pulseway, junto a los malwares WarZone RAT (versión filtrada), Raccoon Stealer y Vidar Stealer, y BlackCat / ALPHV (Ransomware como servicio).
Estrategias de defensa
- Monitoreo de dominios: Escanear continuamente los registros de dominios y bloquear aquellos sospechosos que coincidan con los patrones de Scattered Spider. Los identificados por Check Point Software (victimname-sso.com, victimname-servicedesk.com y victimname-okta.com), son un punto de partida.
- Capacitación de empleados: Realizar simulacros y capacitaciones de concienciación centradas en el abuso de MFA y el vishing.
- Autenticación adaptativa: Implementar soluciones inteligentes de MFA con detección de anomalías de comportamiento.
- Seguridad de endpoints: Garantizar una detección y respuesta robustas en endpoints en toda la organización.
- Gestión de riesgos de proveedores: Auditar a los proveedores de servicios externos, en particular a los centros de llamadas, para verificar los controles de acceso y la madurez de la seguridad.
- Verificación robusta de identidad: Exigir verificación por capas para el restablecimiento de contraseñas y las solicitudes de soporte relacionadas con MFA.
- Respuesta a incidentes específicos del sector: Establecer estrategias de respuesta adaptadas a las filtraciones de datos que involucran datos de pasajeros y plataformas de fidelización.
‘Scattered Spider continúa desarrollando sus tácticas con una precisión alarmante, aprovechando la ingeniería social, la infraestructura de phishing y la suplantación de identidad en tiempo real para vulnerar incluso a las organizaciones más preocupadas por la seguridad’, afirmó Eli Smadja, Gerente de Grupo de Investigación de Seguridad en Check Point Software Technologies. ‘Al descubrir más de 500 dominios vinculados a su actividad, brindamos a los defensores la información proactiva que necesitan para detener estos ataques antes de que se produzcan daños’.
