Microsoft Warns as Scattered Spider Expands from SIM Swaps to Ransomware

Scattered Spider, también conocido como UNC3944, Scatter Swine, Muddled Libra y Roasted 0ktapus, es un grupo de actores de amenazas motivado financieramente que ha estado activo desde mayo de 2022. Scattered Spider se ha observado en gran medida apuntando a organizaciones de telecomunicaciones y subcontratación de procesos comerciales (BPO).

Microsoft, reveló las actividades del grupo con fines financieros, describió al adversario como criminales financieros más peligrosos, destacando su fluidez operativa y su capacidad para incorporar phishing por SMS, intercambio de SIM y fraude en el servicio de asistencia técnica en sus operaciones. 

Octo Tempest es un colectivo motivado financieramente de actores de amenazas nativos de habla inglesa conocidos por lanzar campañas de amplio alcance que destacan técnicas de adversario en el medio (AiTM), ingeniería social y capacidades de intercambio de SIM.

UNC3944 opera en comunidades clandestinas, como Telegram y foros clandestinos, que pueden aprovechar para adquirir herramientas, servicios y/u otro apoyo para aumentar sus operaciones. A mediados de 2023, comenzó a implementar ransomware en entornos de víctimas, lo que indica una expansión en las estrategias de monetización del grupo.

Ejemplo de algunas tácticas, técnicas y procedimientos (TTP) más notables:

• Utilizan constantemente software legítimo, incluida una variedad de herramientas de acceso remoto que los actores han descargado de los sitios web de los proveedores.
• Con frecuencia utilizan campañas de phishing por SMS y llamadas a los servicios de asistencia a las víctimas para intentar obtener restablecimientos de contraseñas o códigos de derivación multifactor.
• Logra una escalada de privilegios apuntando a administradores de contraseñas o sistemas de administración de acceso privilegiado.
• Al implementar ransomware, los actores de la amenaza parecen apuntar específicamente a máquinas virtuales y otros sistemas críticos para el negocio, probablemente en un intento de maximizar el impacto para la víctima.

Una de las características clave es apuntar al personal de soporte y ayuda a través de ataques de ingeniería social para obtener acceso inicial a cuentas privilegiadas, engañándolos para que restablezcan la contraseña de la víctima y los métodos de autenticación multifactor. Otros enfoques implican comprar las credenciales de un empleado y/o tokens de sesión en un mercado clandestino criminal, o llamar al individuo directamente y diseñar socialmente al usuario para que instale una utilidad de monitoreo y administración
remota (RMM).

Mandiant ha identificado al menos tres kits de phishing que se han utilizado para facilitar las campañas UNC3944:
1. Entre finales de 2021 y mediados de 2022, las campañas UNC3944 implicaron el uso de un kit de phishing que denominamos EIGHTBAIT.

Este kit de phishing está diseñado para enviar credenciales capturadas a un canal de Telegram controlado. Además, EIGHTBAIT puede implementar AnyDesk en el sistema de una víctima lo que indica que este kit fue desarrollado con la intención de apuntar a  sistemas no móviles y no diseñado expresamente para campañas de smishing.

2-A partir del tercer trimestre de 2022, observamos campañas de phishing de credenciales UNC3944 que aprovechaban un nuevo kit de phishing que parece haber sido creado utilizando una página web copiada de una organización específica.

Este kit utiliza un tema de autenticación genérico y se crea utilizando una copia de la página de autenticación de una organización de destino. Este kit se ha utilizado en algunas de las intrusiones recientes que llevaron a intentos de extorsión. Una técnica única que  utiliza Octo Tempest es comprometer la infraestructura de VMware ESXi, instalar la puerta trasera de código abierto de Linux Bedevil y luego lanzar scripts de VMware Python para ejecutar comandos arbitrarios contra máquinas virtuales alojadas.

Recomendaciones

• Aplique Microsoft Authenticator con coincidencia de números y elimine los SMS como opción de verificación MFA.
• Para restringir que MFA utilice únicamente Microsoft Authenticator con coincidencia de números, las organizaciones deberán asegurarse de estar al menos en la etapa de "Migración en curso" para aprovechar los métodos de autenticación y luego configurar adecuadamente el método de autenticación de Microsoft Authenticator.
• Cree una seguridad de autenticación personalizada que especifique SÓLO "Contraseña + Autenticador de Microsoft
• Cree una nueva política de acceso condicional o edite una existente para otorgar acceso solo a la fuerza de autenticación recién creada.
• Asegúrese de que el registro de MFA y SSPR sea seguro solicitando a los usuarios que se autentiquen desde una ubicación de red confiable.
• Bloquee el acceso externo a las funciones de administración de Microsoft Azure y Microsoft 365 creando una política de acceso condicional que solo permita el acceso si los usuarios se autentican desde una ubicación de red confiable.

Indicadores de compromiso:

• {}-sso.[com|net]
• sso-{}.[com|net]
• {}sso.com.[com|net]
• {}-ayuda.com
• {}-helpdesk.com
• {}-serviciodesk.com
• {}-servicio ahora.[com|net]
• servicio ahora-{}.com
• {}-interno.com
• {}-horario.[ca|com]
• e23283e75ed2bdabf6c703236f5518b4ca37d32f78d3d65b073496c12c643cfe
• b6e82a4e6d8b715588bf4252f896e40b766ef981d941d0968f29a3a444f68fef

Referencias

https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
https://thehackernews.com/2023/10/microsoft-warns-as-scatteredspider.html#:~:text=Microsoft%20Warns%20as%20Scattered%20Spider%20Expands%20from%20SIM%20Swaps%20to%20Ransomware,-%EE%A0%82Oct%2026&text=The%20prolific%20threat%20actor%20known,breach%20organizations%20across%20the%20world.
https://computerworldmexico.com.mx/este-es-el-el-modus-operandi-de-scattered-spider/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios