Los investigadores de ciberseguridad han empatado una nueva ronda de ataques cibernéticos dirigidos a servicios financieros al notorio grupo de delitos cibernéticos conocido como araña dispersa, arrojando dudas sobre sus afirmaciones de ir «oscuro».
La firma de inteligencia de amenazas Reliaquest dijo que ha observado indicaciones de que el actor de amenaza ha cambiado su enfoque al sector financiero. Esto está respaldado por un aumento en los dominios parecidos potencialmente vinculados al grupo que está orientado a la industria vertical, así como una intrusión dirigida recientemente identificada contra una organización bancaria estadounidense no identificada.
«La araña dispersa obtuvo acceso inicial al ingeniería socialmente de una cuenta de un ejecutivo y restableciendo su contraseña a través de la gestión de contraseñas de autoservicio de Azure Active Directory», dijo la compañía.
«A partir de ahí, accedieron a documentos de seguridad y TI confidenciales, se movieron lateralmente a través del entorno Citrix y VPN, y comprometieron la infraestructura de VMware ESXi para volcar credenciales e infiltrarse aún más en la red».
Para lograr la escalada de privilegios, los atacantes restablecen una contraseña de cuenta de servicio Veeam, se asignaron permisos de administrador global de Azure y reubicaron máquinas virtuales para evadir la detección. También hay signos de que la araña dispersa intentó exfiltrar datos de Snowflake, Amazon Web Services (AWS) y otros repositorios.
Salir o Smokescreen?
La reciente actividad socava las afirmaciones del grupo de que estaban deja de operar junto con otros 14 grupos criminales, como Lapsus $. Spattered Spider es el apodo asignado a un colectivo de piratería suelto que forma parte de una entidad en línea más amplia llamada Com.
El grupo también comparte un alto grado de superposición con otros equipos de delitos cibernéticos como Shinyhunters y Lapsus $, tanto que los tres grupos formaron una entidad general llamada «Lapsus $ cazadores dispersos».
Uno de estos grupos, especialmente Shinyhunters, también se ha dedicado a los esfuerzos de extorsión después de exfiltrar datos confidenciales de las instancias de Salesforce de las víctimas. En estos casos, la actividad tuvo lugar meses después de que los objetivos se vieron comprometidos por otro grupo de piratería motivado financieramente rastreado por Mandiant, propiedad de Google, como UNC6040.
El incidente es un recordatorio de no ser arrullado en una falsa sensación de seguridad, agregó Reliaquest, instando a las organizaciones a mantenerse atentos a la amenaza. Como en el caso de los grupos de ransomware, no existe la jubilación, ya que es muy posible que se reagrupen o se vuelvan a marca bajo un alias diferente en el futuro.
«La reciente afirmación de que la araña dispersa se está retirando debe tomarse con un grado significativo de escepticismo», dijo Karl Sigler, gerente de investigación de seguridad de SpiderLabs Amenazing Intelligence en Trustwave. «En lugar de una verdadera disolución, este anuncio probablemente indica un movimiento estratégico para distanciar al grupo de aumentar la presión de la aplicación de la ley».
Sigler también señaló que la carta de despedida debe verse como un retiro estratégico, permitiendo al grupo reevaluar sus prácticas, refinar su Tradecraft y evadir los esfuerzos continuos para poner una tapa en sus actividades, sin mencionar los esfuerzos de atribución al hacer que sea más difícil vincular a los futuros incidentes con los mismos actores centrales.
«Es plausible que algo dentro de la infraestructura operativa del grupo se haya visto comprometida. Ya sea a través de un sistema incumplido, un canal de comunicación expuesto o el arresto de los afiliados de nivel inferior, algo ha provocado que el grupo se oscurezca, al menos temporalmente. resurgir bajo una nueva identidad «.