
Cuidado: la red de cibercrimen Scattered Spider provoca advertencias
Grupo cibercriminal conocido por moverse rápidamente para atacar negocios
PUNTOS CLAVE
- Scattered Spider es un grupo de cibercrimen descentralizado dirigido a 15+ industrias con ingeniería social avanzada y ransomware.
- El grupo imita las estructuras corporativas, recluta hackers calificados y se asocia con otros actores de amenazas para escalar los ataques.
- Las empresas pueden defenderse contra las amenazas con capacitación de los empleados, actualizaciones del sistema y planes sólidos de respuesta a incidentes.
Puede sonar como la base de un thriller cinematográfico: un grupo cibercriminal conocido por moverse rápidamente, esquivar las investigaciones descentralizando sus operaciones y girando no solo en las industrias sino también en las regiones objetivo. Sin embargo, esta organización, conocida como Scattered Spider, es una amenaza muy real que enfrentan las empresas.
Según Paul Tucker, director de seguridad y privacidad de la información en BOK Financial®, el grupo no es como una pandilla típica de ciberdelincuencia. "Scattered Spider opera más como una startup tecnológica, reclutando jóvenes talentos, asociándose con otros actores de amenazas y adaptando constantemente sus herramientas y estrategias para ser más efectivos", dijo.
Scattered Spider a menudo centra sus esfuerzos en datos de alto valor y oportunidades de extorsión, y sus objetivos abarcan 15 industrias, incluidas las finanzas, la atención médica, el comercio minorista y las aerolíneas. "Algunas de sus tácticas incluyen engañar a los empleados, eludir los sistemas de seguridad e incluso hacerse pasar por el personal de TI para obtener acceso a sistemas confidenciales", explicó Tucker.
Algunos de los objetivos del grupo han incluido grandes nombres, como MGM Resorts & Caesars Entertainment en 2023, donde los delincuentes se hicieron pasar por personal de TI y engañaron a los empleados del servicio de asistencia técnica para que restablecieran las credenciales de inicio de sesión. Luego, el grupo implementó el ransomware BlackCat / ALPHV, que causó interrupciones generalizadas y resultó en más de $ 100 millones en pérdidas.
Del mismo modo, en 2024, el grupo fue responsable de la Violación de datos de Snowflake Cloud, que comprometió las credenciales de 165 clientes de Snowflake, incluidas compañías importantes como AT&T, Ticketmaster y LendingTree. Esta violación resultó en intentos masivos de robo de datos y extorsión dirigidos a los datos de clientes almacenados en la nube en múltiples industrias.
Una nueva generación de organizaciones cibercriminales
Scattered Spider es uno de los grupos cibercriminales más notorios y de rápida evolución activos en la actualidad. Emergiendo en 2022, este grupo se ha ganado una reputación por sus tácticas audaces, ingeniería social sofisticada y operaciones de estilo corporativo. A partir de 2025, Scattered Spider continúa evolucionando, absorbiendo otros grupos cibercriminales y expandiendo su alcance, lo que lo convierte en una amenaza de primer nivel en el panorama global de ciberseguridad.
"Lo que distingue a Scattered Spider es cómo se comportan notablemente como un departamento de TI corporativo deshonesto, y eso es parte de lo que los hace tan peligrosamente efectivos".- Paul Tucker, director de seguridad y privacidad de la información en BOK Financial
Se sabe que el grupo recluta o absorbe a otros actores de amenazas, especialmente aquellos con habilidades especializadas como la implementación de ransomware, infraestructura de phishing o Intercambio de SIM. "Esta estrategia les permite escalar las operaciones rápidamente y diversificar sus métodos de ataque, lo que los convierte en una fuerza formidable en el mundo del cibercrimen", explicó Tucker.
Su proceso de contratación refleja el de las empresas legítimas, con cualificaciones laborales específicas. Buscan hablantes nativos con acentos neutrales para sus regiones objetivo, generalmente reclutando hablantes de inglés de los Estados Unidos y el Reino Unido, ya que esas son sus principales áreas objetivo. El grupo también forma alianzas estratégicas y colaboraciones con otras importantes organizaciones de cibercrimen como AlphV / BlackCat y Qilin.
"Lo que los hace especialmente peligrosos es que en lugar de operar como un solo grupo estrictamente controlado, Scattered Spider funciona más como una red de afiliados, cada uno con su propia especialidad pero alineado bajo una marca o misión compartida", explicó Tucker. "Piense en ello como un modelo de franquicia en el mundo cibercriminal, donde el grupo no se origina en un solo país, sino que abarca muchas naciones".
Sus tácticas explicadas
Scattered Spider utiliza sofisticadas técnicas de ingeniería social, manipulando a las personas para que revelen secretos a través de varios métodos:
- Vishing (phishing de voz). Llaman fingiendo ser de soporte de TI, bancos u otras entidades de confianza. Hay evidencia emergente de que ahora están utilizando la clonación de voz de IA en algunos casos para fortalecer estas tácticas, según Tucker.
- Campañas de phishing. Envían correos electrónicos falsos Pedir a los objetivos que "Verificar" cuentas o hacer clic en enlaces maliciosos, utilizando rutinariamente dominios que se parecen mucho a sitios web legítimos.
- Intercambio de SIM. Ellos Engañar a las compañías telefónicas para darles el control de los números de teléfono de las víctimas, permitiéndoles interceptar códigos de seguridad y eludir la autenticación multifactor (MFA).
- Suplantación de TI. Convencen a los empleados de la mesa de ayuda para que restablezcan las credenciales haciéndose pasar por miembros legítimos del personal de TI.
Una vez que los malos actores obtienen acceso inicial, pueden robar información de inicio de sesión, eludir los códigos de seguridad y Acceda a datos confidenciales Incluido Cuentas bancarias e información personal.
Estrategias de protección: cómo mantener su negocio seguro
"La ciberseguridad hoy significa proteger lo que no podemos ver, en lugares a los que no podemos llegar", dijo Tucker. "La mejor defensa contra los ataques es prevenirlos".
Organizaciones e individuos puede tomar varias medidas para protegerse contra Scattered Spider y amenazas similares.
Para empresas:
- Implemente la autenticación multifactor (MFA) sin SMS. Utilice la autenticación multifactor basada en aplicaciones o tokens de hardware cuando esté disponible, ya que los SMS pueden verse comprometidos a través del intercambio de SIM.
- Formación de empleados. Capacite regularmente a los empleados, incluido el personal de la mesa de ayuda, para que reconozcan las tácticas de ingeniería social. "En el panorama cambiante de hoy, las empresas deben asegurarse de que sus empleados estén bien capacitados y atentos contra los ataques cibernéticos, especialmente los ataques de phishing", dijo Tucker.
- Actualizaciones del sistema. Es fundamental mantener toda la infraestructura y los sistemas informáticos actualizados con parches de seguridad.
- Métodos de verificación ampliados. Siempre verifique a través de canales de comunicación separados cuando se le solicite realizar transacciones financieras grandes u operaciones confidenciales. "Es imperativo que los empleados se tomen un momento para verificar los correos electrónicos antes de interactuar con ellos y que informen sobre actividades sospechosas. Un solo clic puede tener consecuencias de largo alcance", dijo Tucker.
- Planificación de respuesta a incidentes. Asegúrese de haber probado la respuesta a incidentes y los planes de continuidad del negocio listos para los ataques de ransomware.
- Seguridad de la cadena de suministro. Evalúe y proteja su cadena de suministro, ya que los actores de amenazas a menudo obtienen acceso a través de software de terceros comprometido.
Para particulares:
- Nunca comparta credenciales. No comparta contraseñas ni códigos de verificación, incluso si alguien suena oficial.
- Use contraseñas seguras y únicas. Implemente contraseñas diferentes y complejas para cuentas críticas como banca y correo electrónico.
- Habilite MFA. Además, tenga cuidado con las indicaciones falsas y use la autenticación basada en aplicaciones cuando sea posible.
- Verifique de forma independiente. Llame a su banco o proveedor de servicios directamente usando números oficiales si algo se siente sospechoso.
- Administrar la configuración de la cuenta. Establezca políticas de bloqueo de cuentas después de un número limitado de intentos fallidos de inicio de sesión.
"El crecimiento de este grupo, y otros, sirve como un claro recordatorio de que el cibercrimen de hoy se ha convertido en una empresa profesional", dijo Tucker. "Estar preparado, tener un libro de jugadas de ciberseguridad y programas sólidos, e invertir en educar a los empleados sobre la importancia de la seguridad cibernética contribuirá en gran medida a proteger su negocio y sus clientes".