Criptomonedas, ransomware y hamburguesas: la combinación fatal para Scattered Spider

Redazione RHC : 25 septiembre 2025 11:02

El Departamento de Justicia de Estados Unidos y la policía británica han acusado a Talha Jubair, de 19 años, residente del este de Londres, quien los investigadores creen que es un miembro clave de Scattered Spider , un grupo responsable de una serie de ataques de extorsión dirigidos contra importantes empresas y agencias gubernamentales.

Según el expediente, entre mayo de 2022 y septiembre de este año, los atacantes llevaron a cabo al menos 120 intrusiones que afectaron a 47 organizaciones en Estados Unidos, y el monto total de los pagos superó los 115 millones de dólares. Un caso paralelo en Londres involucra un ataque a Transport for London en agosto de 2024, en el que participó Owen Flowers, de 18 años, junto con Jubair.

La clave para identificar al sospechoso fue una serie de coincidencias técnicas. Los investigadores rastrearon transferencias desde las direcciones donde se enviaron los pagos del rescate a un servidor que creían controlado por Jubair.

Este nodo alojaba monederos de criptomonedas utilizados para comprar tarjetas de regalo de juegos de azar y tarjetas de entrega de comida . Los pedidos se entregaban en su complejo de apartamentos, y uno de los certificados estaba vinculado a un perfil de juego con información sobre el apartamento. Durante la redada, los agentes incautaron aproximadamente 36 millones de dólares en criptomonedas; previamente se habían retirado sumas significativas de estas direcciones.

A Jubair se le atribuye un largo historial de ciberataques. Según la investigación, entre 2021 y 2022 formó parte de LAPSUS$ , operando bajo los nombres de usuario Amtrak y Asyntax, y anteriormente como Everlynn , asociado con la venta de solicitudes falsas de datos de emergencia en nombre de las fuerzas del orden. Conflictos internos dentro de LAPSUS$ provocaron la filtración de datos reales en chats públicos de Telegram.

Desde 2022, una persona conocida como EarthtoStar cogestiona el canal Star Chat , una plataforma activa de intercambio de tarjetas SIM. El grupo ha llevado a cabo ataques sistemáticos de phishing contra operadores de telecomunicaciones, principalmente T-Mobile, obteniendo acceso a herramientas internas y vendiendo servicios de desvío de llamadas y restablecimiento de cuentas de correo electrónico .

Ese verano, los atacantes utilizaron páginas falsas de Okta y bots de Telegram para enviar instantáneamente códigos de autenticación de dos factores para comprometer a los empleados de cientos de empresas, lo que resultó en incidentes en LastPass, DoorDash, Mailchimp, Plex y Signal.

Rastros de actividad también apuntan al foro Exploit , donde las cuentas de RocketAce y Lopiu anunciaban acceso a redes de telecomunicaciones estadounidenses, kits de phishing, descargadores maliciosos e incluso certificados de Validación Extendida. A finales de 2022 y principios de 2023, surgieron una serie de «servicios IRL» en la comunidad angloparlante » Com «, que implicaban elementos de presión física sobre objetivos, incluyendo ofertas de robo; esta actividad también está asociada con el propio EarthtoStar. Al mismo tiempo, bajo el nombre de usuario Brad o Brad_banned , promovía el desarrollo de malware a nivel de kernel con persistencia, shell inverso y la supuesta capacidad de eludir las medidas de seguridad corporativas.

En septiembre de 2023, tras los ataques a MGM Resorts y Caesars Entertainment, el grupo se atribuyó la responsabilidad . El acceso se obtuvo mediante ingeniería social por parte de contratistas. Según informes de prensa, Caesars pagó un rescate de 15 millones de dólares , mientras que en MGM, la interrupción provocó un tiempo de inactividad prolongado. En la primavera de 2025, un informe anónimo de «Com Cast» vinculó a Jubair con nuevos alias: Clark, Miku y Operator . A este último se le atribuyó el secuestro del recurso Doxbin y el lanzamiento de un servicio automatizado de doxing.

Documentos del Departamento de Justicia de EE. UU. describen específicamente un ciberataque a la infraestructura de un tribunal federal en enero de 2025: utilizando soporte técnico, los atacantes forzaron el restablecimiento de contraseñas, obtuvieron acceso a otras dos cuentas y robaron datos personales de los empleados. Una de las cuentas de correo electrónico comprometidas exigió a la institución financiera la entrega urgente de los datos de los clientes.

En otros incidentes, desde empresas manufactureras y de entretenimiento hasta minoristas, financieras y de infraestructura crítica, se repitió el mismo escenario: engaño al personal de soporte, cambio de contraseñas, exfiltración, en ocasiones cifrado y posterior negociación para el descifrado o la promesa de no publicar los datos robados. En cinco casos, las víctimas enviaron al menos 89,5 millones de dólares en BTC, y los pagos más cuantiosos se destinaron a bancos.

Telegram bloqueó Star Chat en marzo de 2025 , pero según los investigadores, las operaciones continuaron hasta septiembre. Algunos incidentes recuerdan al caso Flowers, como la investigación contra Noah Urban , quien ya ha sido condenado a 10 años de prisión en Estados Unidos. Los analistas señalan que la participación de menores en «Com» crea lagunas legales y retrasa los procesos judiciales, pero los esfuerzos concertados de agencias gubernamentales y empresas de ambos lados del Atlántico están privando gradualmente a Scattered Spider de su base de operaciones.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli