Un hombre de 22 años del Reino Unido arrestado esta semana en España es presuntamente el cabecilla de Scattered Spider, un grupo de cibercrimen sospechoso de piratear Twilio, LastPass, DoorDash, Mailchimp y casi otras 130 organizaciones durante los últimos dos años. El periódico español Murcia Today informa que el sospechoso era buscado por el FBI y arrestado en Palma de Mallorca cuando intentaba abordar un vuelo con destino a Italia. Una imagen fija de un vídeo publicado por la policía nacional española muestra a Tylerb bajo custodia en el aeropuerto. «Se le acusa de piratear cuentas corporativas y robar información crítica, lo que supuestamente permitió al grupo acceder a fondos multimillonarios», escribió Murcia Today. “Según la policía de Palma, en un momento controló Bitcoins por valor de 27 millones de dólares”. La cuenta de Twitter/X centrada en delitos cibernéticos, vx-underground, dijo que el hombre arrestado en el Reino Unido era un intercambiador de SIM que se hacía llamar «Tyler». En un ataque de intercambio de SIM, los delincuentes transfieren el número de teléfono del objetivo a un dispositivo que controlan e interceptan cualquier mensaje de texto o llamada telefónica enviada a la víctima, incluidos códigos de acceso de un solo uso para autenticación o enlaces de restablecimiento de contraseña enviados por SMS. “Es un conocido intercambiador de SIM y supuestamente está involucrado con el infame grupo Scattered Spider”, escribió vx-underground el 15 de junio, refiriéndose a una prolífica pandilla implicada en costosos ataques de rescate de datos en los casinos MGM y Caesars en Las Vegas el año pasado. Fuentes familiarizadas con la investigación dijeron a KrebsOnSecurity que el acusado es un joven de 22 años de Dundee, Escocia, llamado Tyler Buchanan, también supuestamente conocido como «tylerb» en los canales de chat de Telegram centrados en el intercambio de SIM. En enero de 2024, las autoridades estadounidenses arrestaron a otro presunto miembro de Scattered Spider, Noah Michael Urban, de 19 años, de Palm Coast, Florida, y lo acusaron de robar al menos 800.000 dólares a cinco víctimas entre agosto de 2022 y marzo de 2023. Urban supuestamente pasó por los apodos “Sosa” y “King Bob”, y se cree que es parte del mismo equipo que pirateó Twilio y muchas otras empresas en 2022. Los investigadores dicen que los miembros de Scattered Spider son parte de una comunidad cibercriminal en línea más difusa conocida como “ The Com”, en el que piratas informáticos de diferentes camarillas se jactan en voz alta de robos cibernéticos de alto perfil que casi invariablemente comienzan con ingeniería social: engañar a las personas por teléfono, correo electrónico o SMS para que proporcionen credenciales que permiten el acceso remoto a las redes internas corporativas. Uno de los canales de intercambio de SIM más populares en Telegram mantiene una tabla de clasificación actualizada con frecuencia de los intercambiadores de SIM más exitosos, indexados por sus supuestas conquistas en el robo de criptomonedas. Esa tabla de clasificación actualmente ubica a Sosa en el puesto 24 (de 100) y a Tylerb en el puesto 65. 0KTAPUS En agosto de 2022, KrebsOnSecurity escribió sobre cómo examinar el interior de los datos recopilados en una campaña de cibercrimen de meses de duración por parte de Scattered Spider que involucró innumerables ataques de phishing basados ​​en SMS contra empleados de grandes corporaciones. La firma de seguridad Group-IB apodó a la pandilla con un nombre diferente: 0ktapus, un guiño a cómo el grupo criminal estafaba a los empleados para obtener credenciales. Las misivas pedían a los usuarios que hicieran clic en un enlace e iniciaran sesión en una página de phishing que imitaba la página de autenticación Okta de su empleador. A quienes enviaron sus credenciales se les pidió que proporcionaran la contraseña de un solo uso necesaria para la autenticación multifactor. Estos ataques de phishing utilizaron dominios recién registrados que a menudo incluían el nombre de la empresa objetivo y enviaban mensajes de texto instando a los empleados a hacer clic en enlaces a estos dominios para ver información sobre un cambio pendiente en su horario de trabajo. Los sitios de phishing también presentaban un robot oculto de mensajes instantáneos de Telegram para reenviar cualquier credencial enviada en tiempo real, lo que permitía a los atacantes usar el nombre de usuario, la contraseña y el código de un solo uso phishing para iniciar sesión como ese empleado en el sitio web real del empleador. Una de las primeras grandes víctimas de Scattered Spider en su ola de phishing por SMS de 2022 fue Twilio, una empresa que brinda servicios para realizar y recibir mensajes de texto y llamadas telefónicas. Luego, el grupo dio un giro y utilizó su acceso a Twilio para atacar al menos a 163 de sus clientes. Un señuelo de phishing Scattered Spider enviado a los empleados de Twilio. Entre ellos se encontraba la aplicación de mensajería cifrada Signal, que dijo que la infracción podría haber permitido a los atacantes volver a registrar el número de teléfono en otro dispositivo para unos 1.900 usuarios. También en agosto de 2022, varios empleados de la empresa de entrega de correo electrónico Mailchimp proporcionaron sus credenciales de acceso remoto a este grupo de phishing. Según Mailchimp, los atacantes utilizaron su acceso a las cuentas de los empleados de Mailchimp para robar datos de 214 clientes involucrados en criptomonedas y finanzas. El 25 de agosto de 2022, el servicio de gestión de contraseñas LastPass reveló una infracción en la que los atacantes robaron parte del código fuente e información técnica patentada de LastPass, y semanas después, LastPass dijo que una investigación reveló que no se accedió a datos de clientes ni a bóvedas de contraseñas. Sin embargo, el 30 de noviembre de 2022, LastPass reveló una infracción mucho más grave que, según la compañía, aprovechó los datos robados en la infracción de agosto. LastPass dijo que los piratas informáticos habían robado copias cifradas de algunas bóvedas de contraseñas, así como otra información personal. En febrero de 2023, LastPass reveló que la intrusión implicaba un ataque dirigido y muy complejo contra un ingeniero que era uno de los cuatro únicos empleados de LastPass con acceso a la bóveda corporativa. En ese incidente, los atacantes explotaron una vulnerabilidad de seguridad en un servidor de medios Plex que el empleado estaba ejecutando en su red doméstica y lograron instalar software malicioso que robó contraseñas y otras credenciales de autenticación. La vulnerabilidad explotada por los intrusos fue reparada en 2020, pero el empleado nunca actualizó su software Plex. Plex anunció su propia filtración de datos un día antes de que LastPass revelara su intrusión inicial de agosto. El 24 de agosto de 2022, el equipo de seguridad de Plex instó a los usuarios a restablecer sus contraseñas, diciendo que un intruso había accedido a los correos electrónicos, nombres de usuarios y contraseñas cifradas de los clientes. GUERRAS TURF Sosa y Tylerb fueron objeto de ataques físicos por parte de bandas rivales de intercambio de SIM. Se sabe que estas comunidades ajustan cuentas recurriendo a las ofertas llamadas “violencia como servicio” en canales de ciberdelincuencia, en las que se puede contratar a personas para realizar una variedad de trabajos “en la vida real” geográficamente específicos, como albañilería. ventanas, cortando neumáticos de automóviles o incluso allanamientos de viviendas. En 2022, apareció un vídeo en un popular canal de ciberdelincuencia que pretendía mostrar a atacantes arrojando un ladrillo a través de una ventana en una dirección que coincide con la espaciosa y exclusiva casa de los padres de Urban en Sanford, Florida. La historia de enero sobre Sosa señaló que un miembro joven de su equipo llamado «Foreshadow» fue secuestrado, golpeado y retenido para pedir rescate en septiembre de 2022. Los captores de Foreshadow apuntaron con armas a su cabeza ensangrentada mientras lo obligaban a grabar un mensaje de video suplicando a su equipo que bifurcara. más de un rescate de 200.000 dólares a cambio de su vida (Foreshadow escapó de mayores daños en ese incidente). Según varios canales de intercambio de SIM en Telegram donde se sabía que Tylerb frecuentaba, los intercambiadores de SIM rivales contrataron a matones para invadir su casa en febrero de 2023. Esas cuentas afirman que los intrusos agredieron a la madre de Tylerb en el allanamiento de morada y que amenazaron con quemarla. Lo golpearon con un soplete si no entregaba las llaves de sus billeteras de criptomonedas. Se decía que Tylerb había huido del Reino Unido después de ese ataque. KrebsOnSecurity buscó comentarios del Sr. Buchanan y actualizará esta historia en caso de que responda.