Observatorio de Amenazas

Scattered Spider aumenta su arsenal con RansomHub y Qilin

Escrito por Javiera González | 18-07-24

En el panorama de las ciberamenazas en constante evolución, el grupo de hackers conocido como Scattered Spider ha vuelto a llamar la atención por la incorporación de las cepas de ransomware RansomHub y Qilin a su arsenal.

Esta publicación tiene como objetivo proporcionar una descripción detallada de esta amenaza emergente, sus implicaciones para las organizaciones y las mejores prácticas recomendadas para mitigar el riesgo.

Scattered Spider: Un actor de amenazas experimentado

Scattered Spider, también conocido como UNC3944, Octo Tempest y 0ktapus, es un grupo de ciberdelincuencia infame con un historial de ataques sofisticados y técnicas de evasión. Su modus operandi se caracteriza por el uso de ingeniería social para comprometer objetivos, establecer persistencia en los sistemas y robar datos sensibles.

Scattered Spider ha demostrado una capacidad notable para adaptar sus métodos a las tendencias cambiantes del panorama de las amenazas. En el pasado, el grupo se destacó por atacar servidores VMWare ESXi y utilizar el ransomware BlackCat. Sin embargo, la reciente adopción de RansomHub y Qilin indica una evolución en su estrategia, lo que sugiere una mayor sofisticación y una capacidad para adaptarse a las medidas de seguridad existentes.

RamsomHub: Una cepa de ransomware en auge

RansomHub, que surgió por primera vez en febrero de 2024, ha experimentado un rápido crecimiento en popularidad entre los actores de amenazas. Se considera una versión modificada de otra cepa de ransomware llamada Knight y se ha convertido en una de las familias de ransomware más utilizadas en la actualidad.

Su popularidad se atribuye en parte a su modelo de negocio de ransomware como servicio (RaaS), que permite a los actores de amenazas con menos experiencia lanzar ataques de ransomware sin necesidad de desarrollar su propia infraestructura. RansomHub también se destaca por su capacidad para evadir las soluciones de seguridad tradicionales y por su enfoque en objetivos de alto valor.

Qilin: Un nuevo jugador en el panorama del ransomware

Qilin es una cepa de ransomware relativamente nueva que ha ganado notoriedad en los últimos meses. Se caracteriza por su enfoque sigiloso y su capacidad para cifrar datos rápidamente. Qilin se ha observado principalmente en ataques dirigidos a organizaciones en sectores como la atención médica y la manufactura.

Su naturaleza sigilosa y su capacidad para cifrar datos rápidamente la convierten en una amenaza significativa para las organizaciones que no cuentan con medidas de seguridad sólidas. La falta de información pública sobre Qilin también dificulta el desarrollo de defensas efectivas contra esta cepa.

Impacto potencial:

La incorporación de RansomHub y Qilin al arsenal de Scattered Spider representa una amenaza significativa para las organizaciones de todos los tamaños. La combinación de la experiencia de Scattered Spider en ataques sofisticados con la creciente popularidad de RansomHub y la naturaleza sigilosa de Qilin crea un panorama de amenazas complejo y desafiante.

Las organizaciones deben ser conscientes de las tácticas, técnicas y procedimientos (TTP) de Scattered Spider y tomar medidas proactivas para proteger sus sistemas y datos. La implementación de las mejores prácticas de seguridad, como la higiene de las credenciales, el principio de menor privilegio y Zero Trust, es fundamental para reducir el riesgo de ataques de ransomware.

Recomendaciones:

A la luz de la creciente amenaza del ransomware, se recomienda a las organizaciones que implementen las siguientes medidas:

  • Fortalecer las credenciales: Implementar políticas sólidas de contraseñas, usar autenticación multifactor y evitar el uso de credenciales compartidas.
  • Limitar el acceso: Implementar el principio de menor privilegio, otorgando a los usuarios y sistemas solo los permisos que necesitan para realizar su trabajo.
  • Segmentar la red: Segmentar la red para aislar los sistemas críticos y reducir la superficie de ataque.
  • Implementar soluciones de seguridad: Implementar firewalls de última generación, sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS).
  • Realizar copias de seguridad regulares: Realizar copias de seguridad de datos de forma regular y probar los planes de recuperación ante desastres.
  • Capacitar a los empleados: Brindar capacitación de seguridad a los empleados para que puedan identificar y evitar ataques de phishing y otras técnicas de ingeniería social.
  • Monitorear la red: Monitorear la red en busca de actividades sospechosas y responder rápidamente a los incidentes de seguridad.

Ante un ataque se recomienda las siguientes acciones:

  • No pagar el rescate: pagar el rescate no garantiza la recuperación de los datos y puede alentar al actor a continuar con sus actividades ilícitas.
  • Aislar los sistemas afectados: desconectar los sistemas infectados de la red para evitar la propagación del malware.
  • Contener el incidente: identificar el alcance del ataque y tomar medidas para contenerlo.
  • Buscar ayuda de expertos en seguridad cibernética: contratar a expertos calificados para investigar el ataque, recuperar los datos y remediar las vulnerabilidades.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Fuentes

https://thehackernews.com/2024/07/scattered-spider-adopts-ransomhub-and.html

https://www.bleepingcomputer.com/news/security/microsoft-links-scattered-spider-hackers-to-qilin-ransomware-attacks/

 
Ver post completo