Scattered Spider

El grupo criminal organizado Scattered Spider, también conocido como Oktapus, Octo Tempest o UNC3944, fue observado por primera vez en el horizonte de amenazas a mediados de 2022. Este grupo no es un operador de ransomware como tal y, aunque se han observado campañas en las que han desplegado este tipo de malware, el grupo se centra principalmente en robo de datos sin cifrado.

Scattered Spider ha atacado gran cantidad de sectores como el tecnológico, entretenimiento o el financiero – siendo el sector de telecomunicaciones y el financiero los sectores preferidos del grupo. Si bien no se conoce el país de origen del grupo, algunos individuos identificados como pertenecientes a la organización eran estadounidenses y británicos, lo que indica que esta OCG es de origen angloparlante y no ruso (para variar). En octubre de 2023 el grupo pasó a ser un afiliado del ya desaparecido ALPHV.

Scattered Spider fue originalmente observado cuando llevó a cabo una intrusión en Twilio – una compañía estadounidense de tecnología dedicada a ofrecer una plataforma en la nube para servicios de comunicación. El primer paso de esta intrusión era llevar a cabo un ataque a la cadena de suministro; el objetivo final era obtener números de teléfono y contraseñas de un solo uso (One Time Passwords – OTP) que se habían enviado por SMS a clientes de Okta. Esta empresa utilizaba los servicios de Twilio para su autenticación multifactor (MFA) y, dado que Scattered Spider ya había comprometido credenciales válidas previamente, ahora podía  iniciar sesión, evitando este tipo de medida de seguridad.

El grupo ha utilizado de manera satisfactoria técnicas de ingeniería social como el vishing (phishing por voz), smishing y la manipulación de empleados internos para obtener credenciales de acceso privilegiado – como en el ataque a MGM Resorts, en el que consiguió el acceso mediante ingeniería social dirigida contra el departamento de Help Desk y accedió a los hipervisores ESXi de la empresa. Una vez obtenido el acceso inicial, el grupo emplea diversas TTPs y herramientas para moverse a través de la red corporativa y ejecutar los comandos necesarios, establecer comunicación y, en algunos casos, desplegar ransomware. En julio de 2024, Microsoft detectó que Scattered Spider había usado el ransomware Qilin y el de RansomHub en diversos ataques.

Este grupo ha demostrado tener capacidad para comprometer entidades de alto perfil empleando diversas tácticas y técnicas. En noviembre de 2024, la Justicia estadounidense presentó cargos contra cinco individuos de entre 20 y 25 años que estaban presuntamente vinculados al grupo. Otros miembros del grupo han sido arrestados con anterioridad, una detención reciente fue llevada a cabo en Palma de Mallorca, donde la Policía Nacional detuvo al ciudadano británico de 22 años.

Por el momento, no se puede cuantificar el impacto que tendrán estas detenciones en las capacidades del grupo; existe la posibilidad de que Scattered Spider siga operando con normalidad o que, por otra parte, se disuelva y sus miembros pasen a operar como afiliados en otras OCGs.