La consultoría Mandiant de Google Cloud reveló que fue testigo de una disminución en la actividad de los infames grupos de arañas dispersas, pero destacó la necesidad de que las organizaciones usen la calma para fortalecer sus defensas.
«Desde los recientes arrestos en relación con los miembros de la araña dispersa del Reino Unido (UNC3944), Mandiant Consulting no ha observado ninguna nueva intrusión atribuida directamente a este actor de amenaza en particular».
«Esto presenta una ventana de oportunidades importantes que las organizaciones deben utilizar para estudiar a fondo las tácticas que se equiparán de manera muy efectiva, evaluarán los sistemas y mejoran las actitudes de seguridad en consecuencia».
Carmakal también advirtió a las empresas que no «se protejan por completo» porque otros actores de amenaza como UNC6040 violaron sus redes objetivo con tácticas de ingeniería social similares a las arañas dispersas.
«Algunos grupos pueden estar temporalmente inactivos, mientras que otros son implacables», agregó Karmakar.
Este desarrollo se debe a que detalló la orientación agresiva del grupo de piratería de piratería motivado financieramente de VMware ESXI Hypervisors en ataques dirigidos a los sectores minoristas, de aerolíneas y transporte en América del Norte.
Junto con Canadá y Australia, el gobierno de los Estados Unidos ha publicado un aviso actualizado que describe los activos comerciales actualizados de las arañas dispersas obtenidas como parte de una investigación realizada por la Oficina Federal de Investigación (FBI) este mes.
«Se sabe que los actores de amenaza de araña dispersos utilizan una variedad de variantes de ransomware en los ataques de terror de datos, incluido el ransomware de Dragonforce», dijo la agencia.
«Estos actores utilizan técnicas de ingeniería social como phishing, bombardeo push y ataques de intercambio de módulos de identificación de suscriptores para obtener credenciales, instalar herramientas de acceso remoto y evitar la autenticación multifactor.
También se ha observado que el grupo está orientado a los empleados para persuadirlos, persuadir al personal de la mesa de ayuda, proporcionar información confidencial, restablecer las contraseñas de los empleados y reenviarlos a los dispositivos que administran la autenticación multifactorial (MFA) de los empleados.
Esto indica una migración de un actor de amenaza que se hace pasar por una persona de la mesa de ayuda en un mensaje de teléfono o SMS, instruyéndoles que obtengan credenciales de empleados o ejecute una herramienta de acceso remoto comercial que permite el acceso inicial. En otros casos, los piratas informáticos se han calificado como empleados o contratistas en mercados ilegales como el mercado ruso.
Además, el gobierno ha pedido el uso de arañas dispersas con herramientas de malware fácilmente disponibles como Avemaria, Raccoon Stealer, Vidar Stealer y Ratty Rat para facilitar el acceso remoto, recopilar información confidencial y promover el mega del servicio de almacenamiento en la nube para la eliminación de datos.
«Muchas veces, los actores de amenaza de araña dispersas buscan acceso a copos de nieve de organizaciones específicas, eliminan rápidamente grandes cantidades de datos y, a menudo, ejecutan miles de consultas rápidamente», el aviso.
«Según terceros confiables sobre incidentes recientes, es posible que los actores de amenaza de araña dispersas hayan desplegado el ransomware de Dragonforce en la red de la organización objetivo.
Source link
