Grupo Scattered Spider ataca VMware ESXi para desplegar ransomware

Publicado hace 10 meses 01-08-2025

El grupo Scattered Spider, también conocidos como 0ktapus, Muddled Libra, Octo Tempest y UNC3944, tienen un historial desde 2022 de realizar ataques de ingeniería social avanzados para obtener acceso inicial a los entornos de las víctimas. Sus ataques van dirigidos a múltiples industrias, incluidas minoristas, aerolíneas, medios de transporte y seguros en Norte América. Aunque no son un grupo de ransomware como tal, se han visto relacionados a distintos ataques de grupos de ransomware como BlackCat (Alphv) y DragonForce.  

 

Desde Julio del 2025 el grupo se ha destacado por aprovechar su control sobre Active Directory para ahora controlar entornos de VMware vSphere para robar datos e implementar ransomware directamente desde el hipervisor, evitando las herramientas de seguridad que tienen visibilidad limitada o nula del hipervisor ESXi y vCenter Server Appliance (VCSA). Aunque ha cambiado el enfoque del ataque, sus tácticas se han mantenido consistentes enfocándose en el uso de la ingeniería social en vez de explotación de vulnerabilidades.  

 

Expertos confirman que este grupo de atacantes inicia sus ataques haciéndose pasar por un empleado a tal nivel que puede usar su vocabulario y acento adecuado para llamar al equipo de soporte de TI. Su objetivo es convencer al agente de que cambie la contraseña de Active Directory de un empleado con credenciales validas, lo que les permite acceder a la red de la empresa. 

 

Una vez dentro, Scattered Spider busca información valiosa en los equipos de la red, como documentos sobre la infraestructura de TI. Esto les ayuda a identificar a los administradores, sistemas clave como VMware vSphere, y grupos con privilegios elevados. También intentan encontrar herramientas de seguridad que puedan contener datos sensibles que les ayuden a acceder a sistemas más críticos. 

 

Con las credenciales que han conseguido, los atacantes acceden a sistemas virtuales importantes como VCSA, cambian contraseñas root y utilizan una herramienta de acceso remoto llamada Teleport para mantener una conexión encubierta y segura. Luego, activan el acceso por SSH en los servidores ESXi y cambian sus contraseñas para tener el control total. Con esto pueden lograr su objetivo de acceder al controlador de dominio VM, apagarlo y desconectar su disco virtual para conectarlo a una máquina virtual que controlan donde extraen toda la información de Active Directory.  

 

Una vez que obtienen la información, dejan todo como estaba para evitar sospechas y borran copias de seguridad, eliminan puntos de restauración y desactivan cualquier posibilidad de recuperación antes de usar el acceso SSH a los hosts ESXi para implementar ransomware. El ransomware dirigido a la infraestructura de vSphere, incluidos los hosts ESXi y vCenter Server, representa un riesgo crítico debido a su capacidad para paralizar de forma inmediata y generalizada toda la infraestructura. 

 

Los gobiernos de Estados Unidos, Canadá y Australia acusaron al grupo de utilizar programas maliciosos fácilmente disponibles como Ave Maria (también conocido como Warzone RAT), Raccoon Stealer, Vidar Stealer, y Ratty RAT, para acceder de forma remota a computadoras y robar información confidencial. También señalaron que el grupo utilizó el servicio de almacenamiento en la nube llamado Mega para llevarse los datos robados.  

 

Recientemente, se arrestó a varios miembros del grupo Scattered Spider, lo que ha provocado una disminución en su actividad. Sin embargo, otros grupos han comenzado a utilizar tácticas similares o iguales, por lo que no se puede bajar la guardia. Entre estos grupos se encuentran UNC2165, vinculado al ransomware RansomHub; UNC4393, asociado con el ransomware Basta; y UNC2465, conocido por usar los ransomware Darkside y Lockbit.  

Recomendaciones

  • Habilite el modo de bloqueo de vSphere, aplique execInstalledOnly, use el cifrado de máquinas virtuales de vSphere, retire las máquinas virtuales antiguas y refuerce el departamento de soporte técnico TI. 

  • Implemente la autenticación multifactor (MFA) resistente al phishing, aísle la infraestructura de identidad crítica y evite los bucles de autenticación. 

  • Centralice y supervise los logs clave en un SIEM, aísle las copias de seguridad de Active Directory de producción y asegúrese de que sean inaccesibles para un administrador en peligro. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

Referencias

  1. GOOGLE. (2025, Julio 23). From Help Desk to Hypervisor: Defending Your VMware vSphere Estate from UNC3944. Recuperado el 28 de Julio de 2025, de: https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944  
  2. Toulas, B. (2025, Julio 27). Scattered Spider is running a VMware ESXi hacking spree. Bleeping Computer. Recuperado el 28 de Julio de 2025, de:  https://www.bleepingcomputer.com/news/security/scattered-spider-is-running-a-vmware-esxi-hacking-spree/  
  3. Arghire, I. (2025, Julio 28). Scattered Spider Targeting VMware vSphere Environments. Security Week. Recuperado el 28 de Julio de 2025, de: https://www.securityweek.com/scattered-spider-targeting-vmware-vsphere-environments/ 
  4. Lakshmanan, R. (2025, Julio 28). Scattered Spider Hijacks VMware ESXi to Deploy Ransomware on Critical U.S. Infrastructure. The Hacker News. Recuperado el 28 de Julio de 2025, de: https://thehackernews.com/2025/07/scattered-spider-hijacks-vmware-esxi-to.html  
  5. Arghire, I. (2025, Julio 30). Scattered Spider Activity Drops Following Arrests, but Others Adopting Group’s Tactics. Security Week. Recuperado el 30 de Julio de 2025, de: https://www.securityweek.com/scattered-spider-activity-drops-following-arrests-but-others-adopting-groups-tactics/  

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 2 semanas 26-05-2026

...

BOLETINES RECIENTES

...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más
...
Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 2 semanas 26-05-2026
Leer más