Un grupo hackers adolescentes representa la “amenaza más inminente” en ciberataques en estos momentos
Las estanterías vacías de los supermercados y los aviones en tierra suelen ser señales de crisis, ya se trate de fenómenos meteorológicos extremos, crisis de salud pública o emergencias geopolíticas. Pero estas escenas de caos de las últimas semanas en Reino Unido, Estados Unidos y Canadá han sido causadas por ciberataques con motivaciones económicas, aparentemente perpetrados por un grupo de adolescentes.
Un conocido grupo de ciberdelincuentes, a menudo denominado Scattered Spider (“Araña dispersa”), es conocido por utilizar técnicas de phishing (ingeniería social) para infiltrarse en empresas engañando a los trabajadores del servicio de asistencia informática para que les concedan acceso al sistema. Los investigadores afirman que el grupo parece adquirir experiencia en los sistemas backend utilizados habitualmente por las empresas de un sector concreto y, a continuación, utiliza estos conocimientos para atacar a un grupo de objetivos antes de pasar a otro sector. A menudo, el grupo despliega ransomware o lleva a cabo ataques de extorsión de datos una vez que ha comprometido a sus víctimas.
En medio de la creciente presión ejercida por las fuerzas de seguridad el año pasado, que culminó con la acusación y detención de cinco sospechosos presuntamente vinculados a Scattered Spider, los investigadores afirman que el grupo se mostró menos activo en 2024 y parecía estar intentando pasar desapercibido. Sin embargo, la escalada de ataques del grupo en las últimas semanas ha demostrado que, lejos de haber sido derrotado, Scattered Spider está envalentonado una vez más.
El grupo es el posible responsable de los ataques más recientes
“En Scattered Spider hay algunos actores con una habilidad única para la ingeniería social, y han identificado una importante brecha en nuestros sistemas de seguridad que están aprovechando con éxito”, explica John Hultquist, analista jefe del grupo de inteligencia de amenazas de Google. Añade que este grupo está llevando a cabo graves ataques contra las infraestructuras críticas de la compañía: “Espero que no perdamos la oportunidad de hacer frente a la amenaza más inminente”.
Aunque varios incidentes no han sido atribuidos públicamente, una abrumadora oleada de ataques recientes contra cadenas de supermercados de Reino Unido, aseguradoras norteamericanas y aerolíneas internacionales se ha vinculado en general a Scattered Spider. En mayo, la Agencia Nacional contra el Crimen de Reino Unido confirmó que estaba investigando a Scattered Spider en relación con los ataques a minoristas británicos. Y el FBI advirtió el viernes en una alerta que ha observado que “el grupo cibercriminal Scattered Spider está ampliando sus objetivos para incluir el sector de las aerolíneas”. La advertencia se produjo cuando las aerolíneas norteamericanas Westjet y Hawaii Airlines declararon haber sido víctimas de hackeos cibercriminales. El miércoles, la aerolínea australiana Qantas también comunicó que había sido víctima de un ciberataque, aunque no quedó claro de inmediato si este ataque formaba parte de la campaña del grupo.
“Se ralentizaron, y los vimos disiparse durante un tiempo a lo largo de 2024”, declara Adam Meyers, vicepresidente sénior de operaciones contra-adversarios en la empresa de seguridad CrowdStrike: “Luego han rugido de nuevo en el último par de meses, primero golpeando al comercio minorista y luego golpeando a las compañías de seguros y más recientemente apuntando a las aerolíneas”.
Los 184 millones de registros violados, que ya han sido retirados, incluyen nombres de usuario de plataformas como Apple, Google y Meta. Entre las cuentas expuestas hay algunas vinculadas a decenas de gobiernos.
El surgimiento de una red de hackers
Scattered Spider surgió por primera vez como un grupo de alto perfil hacia finales de 2023, cuando sus miembros pasaron de los ataques de intercambio de SIM a lanzar ataques de ransomware paralizantes contra Caesar’s Entertainment y MGM Resorts. La recuperación de este último le costó a MGM unos 100 millones de dólares. Los investigadores subrayan que el colectivo tiene motivaciones económicas y está formado principalmente por adolescentes y hombres jóvenes de habla inglesa que a menudo residen en Estados Unidos o Reino Unido. Los hackers de Scattered Spider se consideran una rama de la Com, una red amorfa de potencialmente miles de trolls y delincuentes, muchos de los cuales se dedican al acoso, la extorsión y la explotación infantil.
Los miembros de Scattered Spider se han unido cada vez más en torno a la táctica de utilizar la ingeniería social selectiva para introducirse en las redes de las empresas. Los atacantes pueden hacerse pasar por un miembro del personal que no puede acceder a su cuenta de correo electrónico y ponerse en contacto con el servicio de asistencia informática de la empresa para obtener acceso, antes de restablecer las credenciales de autenticación multifactor. Los investigadores afirman que el grupo también ha utilizado la táctica de crear sitios web de phishing convincentes en los que las URL suelen incluir el nombre de la organización objetivo junto con palabras como “okta”, “vpn” o “helpdesk”. Una vez dentro de las redes, los hackers despliegan varios tipos de ransomware o roban datos que se utilizan para extorsionar a las empresas.
