17 de julio de 2024Sala de prensaCibercrimen / Ransomware El infame grupo de ciberdelincuencia conocido como Scattered Spider ha incorporado cepas de ransomware como RansomHub y Qilin a su arsenal, según ha revelado Microsoft. Scattered Spider es la denominación que se le da a un actor de amenazas conocido por sus sofisticados esquemas de ingeniería social para violar objetivos y establecer persistencia para la explotación posterior y el robo de datos. También tiene un historial de atacar servidores VMWare ESXi e implementar el ransomware BlackCat. Comparte superposiciones con grupos de actividad rastreados por la comunidad de ciberseguridad más amplia bajo los apodos 0ktapus, Octo Tempest y UNC3944. El mes pasado, se informó de que un miembro clave del grupo fue arrestado en España. RansomHub, que llegó a la escena a principios de febrero, ha sido evaluado como una nueva marca de otra cepa de ransomware llamada Knight, según un análisis de Symantec, propiedad de Broadcom, del mes pasado. «RansomHub es una carga útil de ransomware como servicio (RaaS) utilizada por cada vez más actores de amenazas, incluidos aquellos que históricamente han utilizado otras cargas útiles de ransomware (a veces descontinuadas) (como BlackCat), lo que la convierte en una de las familias de ransomware más extendidas en la actualidad», dijo Microsoft. El fabricante de Windows dijo que también observó que RansomHub se implementó como parte de la actividad posterior al compromiso de Manatee Tempest (también conocido como DEV-0243, Evil Corp o Indrik Spider) después del acceso inicial obtenido por Mustard Tempest (también conocido como DEV-0206 o Purple Vallhund) a través de infecciones de FakeUpdates (también conocido como Socgholish). Vale la pena mencionar aquí que Mustard Tempest es un agente de acceso inicial que, en el pasado, ha utilizado FakeUpdates en ataques que han llevado a acciones que se asemejan al comportamiento previo al ransomware asociado con Evil Corp. Estas intrusiones también fueron notables por el hecho de que FakeUpdates se entregó a través de infecciones existentes de Raspberry Robin. El desarrollo se produce en medio de la aparición de nuevas familias de ransomware como FakePenny (atribuido a Moonstone Sleet), Fog (distribuido por Storm-0844, que también ha propagado Akira) y ShadowRoot, este último se ha observado que ataca a empresas turcas mediante facturas PDF falsas. «A medida que la amenaza del ransomware continúa aumentando, expandiéndose y evolucionando, se recomienda a los usuarios y organizaciones que sigan las mejores prácticas de seguridad, especialmente la higiene de credenciales, el principio del mínimo privilegio y la confianza cero», dijo Microsoft. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.