Scattered Spider es un grupo cibercriminal que se enfoca en grandes empresas y sus servicios de asistencia técnica de tecnología de la información (TI). Utilizan tácticas de ingeniería social, como phishing y ataques de intercambio de módulo de identidad de suscriptor (SIM), para obtener acceso a redes corporativas. Se han destacado por robo de datos, extorsión y uso del ransomware BlackCat/ALPHV.
Los métodos de Scattered Spider incluyen suplantación de personal de TI, persuadir a empleados para que ejecuten herramientas de acceso remoto, obtener contraseñas de un solo uso (OTP) y manipular mensajes de autenticación multifactor (MFA). Han demostrado habilidades en evadir detección mediante técnicas de supervivencia y modificando regularmente sus tácticas.
Después de obtener acceso, utilizan herramientas legítimas y malware para moverse dentro de las redes, cifrar archivos de víctimas y exfiltrar datos. Han amenazado con filtrar datos si no se cumple con sus demandas de extorsión. Recientemente, Scattered Spider ha incorporado el cifrado de archivos después de la exfiltración.
La infiltración comienza con intentos masivos de phishing y smishing, seguidos por ataques de intercambio de SIM. Después de comprometer cuentas, establecen persistencia, escalan privilegios y utilizan herramientas de detección y respuesta de puntos finales (EDR) para eludir las defensas de las víctimas.
La fase final incluye el descubrimiento, movimiento lateral y exfiltración de datos. Para mantenerse ocultos, los actores monitorean plataformas de comunicación interna de la víctima y participan en llamadas y teleconferencias de respuesta a incidentes, creando identidades falsas para evadir la detección.
Qué proponemos en MBTECH:
Detección temprana de amenazas de «Día Cero»:
- Sophos Intercept posee una tecnología llamada Deep Learning la cual es una forma avanzada de Machine Learning y detecta malware aunque no se haya identificado nunca anteriormente sin necesidad de firmas. Sophos detiene las técnicas de hacking reales utilizadas para la recopilación de credenciales, la propagación lateral y el aumento de privilegios.
- Sentinel One ofrece prevención, detección, respuesta y búsqueda de amenazas impulsadas por la IA para proteger estaciones de trabajo, servidores, contenedores, cargas de trabajo en la nube y dispositivos IoT inclusive. La IA conductual monitorea las acciones de los procesos, detecta el uso de la memoria y detecta amenazas únicas. Esta forma de IA no puede ser eludida por contramedidas maliciosas.
- Kaspersky Networks ofrece un enfoque de seguridad multicapa basado en tecnología de aprendizaje automático y una sobresaliente inteligencia de amenazas. Detecta amenazas polimórficas y de otros tipos mediante análisis de comportamiento de aprendizaje automático, análisis en la nube e inteligencia de amenazas basada tanto en IA como en expertos humanos, todo unificado en un único motor ligero. Amenazas sin archivos, exploits, rootkits y muchas otras amenazas; estará protegido frente a lo que sea.
Detección de vulnerabilidades y comportamiento anómalo en los sistemas:
- Servicios de consultoría en análisis de vulnerabilidades y Ethical Hacking que permite determinar si existen vulnerabilidades en la infraestructura tecnológica y determinar el nivel de riesgo en el que encuentra expuesta la organización.
- Servicios de Ingeniería Social y concientización que permite enseñar a los usuarios sobre la importancia de implementar contraseñas seguras y detectar correos y/o páginas web categorizadas como maliciosas.
Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
