La Oficina Federal de Investigación de los Estados Unidos (FBI) ha revelado que ha observado que el notorio grupo de delitos cibernéticos dispersó la araña que amplía su huella de orientación para atacar el sector de las aerolíneas.
Con ese fin, la agencia dijo que está trabajando activamente con los socios de la aviación y la industria para combatir la actividad y ayudar a las víctimas.
«Estos actores dependen de las técnicas de ingeniería social, a menudo hacerse pasar por empleados o contratistas para engañar a TI ayudan a los escritorios a otorgar acceso», dijo el FBI en una publicación sobre X. «Estas técnicas frecuentemente involucran métodos para evitar la autenticación multifactor (MFA), como los servicios de escritorio de ayuda para agregar los dispositivos de MFA inautorizados a cuentas comprometidas».
También se sabe que los ataques de arañas dispersos apuntan a los proveedores de TI de terceros a obtener acceso a grandes organizaciones, poniendo a los proveedores y contratistas de confianza en riesgo de posibles ataques. Los ataques generalmente allanan el camino para el robo de datos, la extorsión y el ransomware.
En una declaración compartida en LinkedIn, Sam Rubin de la Unidad 42 de Palo Alto Networks confirmó los ataques del actor de amenaza contra la industria de la aviación, instando a las organizaciones a estar en una «alerta máxima» para los intentos avanzados de ingeniería social y la sospecha de autenticación de la autenticación multifactor (MFA).
Mandiant, propiedad de Google, que recientemente advirtió sobre la orientación de Spider dispersas del sector de seguros de EE. UU., También se hizo eco de la advertencia, afirmando que es consciente de múltiples incidentes en la aerolínea y las verticales de transporte que se asemejan al modus operandi del equipo de piratería.
«Recomendamos que la industria tome medidas de inmediato para ajustar los procesos de verificación de identidad de su mesa de ayuda antes de agregar nuevos números de teléfono a las cuentas de empleados/contratistas (que el actor de amenazas puede utilizar para realizar restos de contraseña de autoservicio), restablecer contraseñas, agregar dispositivos a las soluciones de MFA o proporcionar información de empleados (eg IDS de empleados) que podría usarse para un posterior ingeniería social ataques de ingeniería social».
Una razón por la que la araña dispersa continúa teniendo éxito es qué tan bien entiende los flujos de trabajo humanos. Incluso cuando las defensas técnicas como MFA están en su lugar, el grupo se enfoca en las personas detrás de los sistemas: saber que el personal de la mesa de ayuda, como cualquier otra persona, puede ser tomado por sorpresa por una historia convincente.
No se trata de piratería de fuerza bruta; Se trata de construir confianza el tiempo suficiente para colarse. Y cuando el tiempo es corto o la presión es alta, es fácil ver cómo podría pasar una solicitud falsa de empleados. Es por eso que las organizaciones deben mirar más allá de la seguridad tradicional de los puntos finales y repensar cómo ocurre la verificación de identidad en tiempo real.
La actividad rastreada como una araña dispersa se superpone con grupos de amenazas como Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud y UNC3944. El grupo, originalmente conocido por sus ataques de intercambio SIM, cuenta la ingeniería social, el phishing de servicio de ayuda y el acceso interno entre su lista de técnicas de acceso inicial para penetrar en entornos híbridos.
«La araña dispersa representa una evolución importante en el riesgo de ransomware, que combina una ingeniería social profunda, una sofisticación técnica en capas y capacidades rápidas de doble extinción», dijo Halcyon. «En cuestión de horas, el grupo puede violar, establecer un acceso persistente, cosechar datos confidenciales, deshabilitar los mecanismos de recuperación y detonar el ransomware en los entornos de las nubes y en las nubes».
Lo que hace que este grupo sea especialmente peligroso es su combinación de planificación de pacientes y escalada repentina. La araña dispersa no solo confía en las credenciales robadas, sino que pasa tiempo reuniendo a Intel en sus objetivos, a menudo combinando la investigación en las redes sociales con datos de violación del público para hacerse pasar por personas con precisión aterradora. Este tipo de amenaza híbrida, que combina técnicas de compromiso de correo electrónico comercial (BEC) con sabotaje de infraestructura en la nube, puede volar bajo el radar hasta que sea demasiado tarde.
La araña dispersa es parte de un colectivo amorfo llamado Com (también conocido como Comm), que también cuenta con otros grupos como Lapsus $. Se evalúa que está activo al menos desde 2021.
«Este grupo evolucionó en las plataformas de comunicación de discordia y telegrama, atrayendo a miembros de diversos orígenes e intereses», dijo la Unidad 42. «La naturaleza suelta y fluida de este grupo hace que sea inherentemente difícil de interrumpir».
En un informe publicado el viernes, Reliaquest detalló cómo los actores de araña dispersos violaron una organización sin nombre a fines del mes pasado al atacar a su director financiero (CFO) y abusaron de su acceso elevado para realizar un ataque extremadamente preciso y calculado.
Se ha descubierto que los actores de amenaza llevan a cabo un amplio reconocimiento para destacar a las personas de alto valor, especialmente hacerse pasar por el CFO en una llamada a la mesa de ayuda de TI de la compañía y persuadirlos para que restablezcan el dispositivo MFA y las credenciales vinculadas a su cuenta.
Los atacantes también aprovecharon la información obtenida durante el reconocimiento para ingresar a la fecha de nacimiento del CFO y los últimos cuatro dígitos de su número de Seguro Social (SSN) en el portal de inicio de sesión público de la compañía como parte de su flujo de inicio de sesión, confirmando en última instancia su identificación de empleados y validando la información recopilada.
«La araña dispersa favorece las cuentas de C-suite por dos razones clave: a menudo son demasiado privilegiadas, y las solicitudes de Desk de ayuda vinculadas a estas cuentas generalmente se tratan con urgencia, lo que aumenta la probabilidad de una ingeniería social exitosa», dijo la compañía. «El acceso a estas cuentas le da a la araña dispersa una vía hacia los sistemas críticos, lo que hace que el reconocimiento sea una piedra angular de sus planes de ataque a medida».
Armados con acceso a la cuenta del CFO, los actores de araña dispersos realizaron una serie de acciones sobre el entorno objetivo que demostró su capacidad para adaptarse y aumentar rápidamente su ataque,
- Realizar la enumeración de Entrra Id en cuentas privilegiadas, grupos privilegiados y directores de servicio para la escalada y persistencia de privilegios
- Realice el descubrimiento de SharePoint para localizar archivos confidenciales y recursos colaborativos, y obtener ideas más profundas sobre los flujos de trabajo de la organización y las arquitecturas de TI y la nube para adaptar su ataque
- Infiltrarse en la plataforma de Infraestructura de escritorio virtual de Horizon (VDI) utilizando las credenciales robadas del CFO y comprometiendo dos cuentas adicionales a través de ingeniería social, extraer información confidencial y establecer un punto de apoyo en el entorno virtual
- Violar la infraestructura VPN de la organización para asegurar el acceso remoto ininterrumpido a los recursos internos
- Reinstale las máquinas virtuales (máquinas virtuales) previamente desmanteladas y cree nuevas para acceder a la infraestructura vmware vCenter, cierre un controlador de dominio de producción virtualizado y extraiga el contenido del archivo de base de datos NTDS.DIT
- Utilice su acceso elevado para crack Cybark Cyberark Password Vault y obtenga más de 1,400 secretos
- Avance la intrusión aún más utilizando las cuentas privilegiadas, incluida la asignación de roles de administrador a cuentas de usuario comprometidas
- Use herramientas legítimas como NGROK para configurar la persistencia en máquinas virtuales bajo su control
- Recurre a una estrategia de «tierra quemada» después de que su presencia fue detectada por el equipo de seguridad de la organización, priorizando la «velocidad sobre el sigilo» para eliminar deliberadamente los grupos de recolección de reglas de políticas de firewall de Azure, obstaculizando las operaciones comerciales regulares
Reliaquest también describió lo que era esencialmente un tira y afloja entre el equipo de respuesta a incidentes y los actores de amenaza para el control del papel de administrador global dentro del inquilino de Entra Id, una batalla que solo terminó después de que Microsoft se intervinió para restaurar el control sobre el inquilino.
La imagen más grande aquí es que los ataques de ingeniería social ya no son solo correos electrónicos de phishing, sino que han evolucionado en campañas de amenazas de identidad en toda regla, donde los atacantes siguen libros de jugadas detallados para evitar cada capa de defensa. Desde el intercambio de SIM hasta la escalada de Vishing and Privilege, la araña dispersa muestra qué tan rápido pueden moverse los atacantes cuando el camino está claro.
Para la mayoría de las empresas, el primer paso no es comprar nuevas herramientas: está ajustando procesos internos, especialmente para cosas como aprobaciones de la mesa de ayuda y recuperación de cuentas. Cuanto más confíe en las personas para las decisiones de identidad, más importante será entrenarlos con ejemplos del mundo real.
«Los métodos de acceso inicial de Spider dispersos exponen una debilidad crítica en muchas organizaciones: dependencia de los flujos de trabajo centrados en el ser humano para la verificación de identidad», dijeron los investigadores de seguridad Alexa Feminella y James Xiang.
«Al armar la confianza, el grupo pasó por alto las fuertes defensas técnicas y demostró cuán fácilmente los atacantes pueden manipular procesos establecidos para lograr sus objetivos. Esta vulnerabilidad resalta la necesidad urgente de que las empresas reevalúen y fortalezcan los protocolos de verificación de identificación, reduciendo el riesgo de error humano como una puerta de enlace para los adversarios».