Los investigadores de ciberseguridad han cuestionado las afirmaciones de «oscuridad» al atar nuevos ataques cibernéticos dirigidos a los servicios financieros al infame grupo cibercriminal conocido como arañas dispersas.
La firma de inteligencia de amenazas Reliaquest dijo que ha habido indicios de que los actores de amenaza han cambiado su enfoque al sector financiero. Esto está respaldado por un aumento en los dominios similares a la apariencia que están potencialmente vinculados a los grupos verticalmente correspondientes en la industria, y un aumento en las invasiones objetivo contra las organizaciones bancarias estadounidenses no identificadas recientemente identificadas.
«Las arañas dispersas obtuvieron acceso inicial por las cuentas ejecutivas sociales de ingeniería social y restableciendo sus contraseñas a través de la gestión de contraseñas de autoservicio de autoservicio de Azure Active Directory», dijo la compañía.
«Desde allí, accedieron a documentos de seguridad y TI confidenciales, movieron entornos de Citrix y VPN de lado, comprometieron la infraestructura VMware ESXi, las credenciales arrojadas y les permitieron penetrar aún más en la red».
Para lograr la escalada de privilegios, el atacante restablece la contraseña para la cuenta de servicio Veeam, asignó permisos de administrador global Azure y reubicó la máquina virtual para evitar la detección. También hay indicios de que las arañas dispersas han intentado eliminar los datos de los copos de nieve, los servicios web de Amazon (AWS) y otros repositorios.
¿Salir o fumar pantalla?
Actividad reciente ha socavado las afirmaciones del grupo de que ha detenido las operaciones junto con otros 14 grupos criminales, incluido Lapsus $. Las arañas dispersas son apodos asignados a grupos de piratería de rodillas sueltas, parte de una entidad en línea más amplia llamada Com.
El grupo también comparte una alta superposición con otros equipos de delitos cibernéticos como Shinyhunters y Lapsus $, lo que significa que los tres grupos formaron una entidad inclusiva llamada «Lapsus $ cazadores dispersos».
Uno de estos grupos, especialmente Shinyhunters, también está involucrado en los esfuerzos de Fear Tor después de eliminar datos confidenciales de la instancia de Salesforce de la víctima. En estos casos, la actividad tuvo lugar varios meses después de que el objetivo se vio comprometido por otro grupo de piratería motivado financieramente que Google poseía las pistas Mandiantes como UNC6040.
El incidente nos recuerda que no estamos deprimidos por el falso sentido de seguridad, agregó Reliaquest, instando a la organización a permanecer atento a las amenazas. Al igual que con los grupos de ransomware, es muy posible reorganizar o cambiar el nombre de otro alias en el futuro, por lo que no hay jubilación ni nada de eso.
«La reciente afirmación de que las arañas dispersas se retiran deben tomarse con un grado considerable de escepticismo», dijo Karl Sigler, Gerente de Investigación de Seguridad de SpiderLabs Amenazas de inteligencia de amenazas en Trustwave. «Además de una verdadera ruptura, este anuncio podría indicar un movimiento estratégico para distanciar al grupo de aumentar la presión sobre la aplicación de la ley».
Sigler también señaló que las cartas de despedida deben considerarse un escondite estratégico y evita los esfuerzos continuos para encubrir la actividad, sin mencionar los complejos esfuerzos de atribución que dificultan que el grupo reevalúe sus prácticas, refine el comercio y vincule los casos futuros con los mismos actores centrales.
«Es plausible que algo dentro de la infraestructura operativa del grupo se haya visto comprometida. Es probable que al menos desencadene que un grupo se vuelva más oscuro, al menos temporalmente, a través del arresto de un sistema violado, canal de comunicaciones expuestas o afiliados de nivel inferior. Reemergerá bajo una nueva identidad».
Source link
