Redazione RHC : 28 julio 2025 14:48
El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de transporte y de seguros. Estos ataques no explotan las vulnerabilidades tradicionales del software, sino que demuestran un dominio de las técnicas de ingeniería social que les permiten eludir incluso los sistemas más seguros.
Según el Grupo de Inteligencia de Amenazas de Google, la fase inicial del ataque se basa en suplantar la identidad de un empleado de la empresa en una conversación con el equipo de soporte técnico. El atacante logra cambiar la contraseña del usuario en Active Directory, obteniendo así acceso inicial a la red interna. A continuación, se inicia la búsqueda de documentación técnica valiosa y cuentas clave, principalmente administradores de dominio y de entorno de VMware vSphere, así como miembros de grupos con permisos ampliados.
Paralelamente, se realizan análisis para detectar la presencia de soluciones de tipo PAM (Administración de Acceso Privilegiado), que podrían contener datos confidenciales y contribuir al desarrollo de la infraestructura. Tras obtener los nombres de los usuarios con privilegios, los atacantes realizan repetidas llamadas, haciéndose pasar por administradores, y reinician las contraseñas, pero esta vez para obtener acceso privilegiado.
El siguiente paso es obtener el control del servidor de administración de entornos virtuales (vCSA), VMware vCenter, que administra toda la arquitectura ESXi y las máquinas virtuales en los hosts físicos. Una vez obtenido este nivel de acceso, los atacantes habilitan SSH en los hosts ESXi, restablecen las contraseñas root y proceden a realizar un ataque de reemplazo de disco virtual.
La técnica consiste en apagar un controlador de dominio, desconectar su disco virtual y conectarlo a otra máquina virtual controlada. Allí, los atacantes copian el archivo NTDS.dit, que es la base de datos de Active Directory con hashes de contraseñas, y luego devuelven el disco y encienden la máquina original. Este enfoque permite extraer datos críticos sin levantar sospechas a nivel de eventos del sistema operativo.
Con el control total de la virtualización, los atacantes también obtienen acceso a los sistemas de respaldo. Cancelan programaciones, eliminan instantáneas y destruyen archivos de respaldo. La etapa final del ataque consiste en implementar cifrado criptográfico mediante conexiones SSH a todas las máquinas virtuales de los archivos. El resultado es un cifrado masivo de datos y la pérdida total de control por parte de la organización.
Google describe la arquitectura del ataque en cinco fases: desde la ingeniería social hasta la toma de control de toda la infraestructura ESXi. En la práctica, toda la cadena, desde la primera llamada de soporte hasta la implementación del ransomware, puede tardar solo unas horas. Cabe destacar que estos ataques no explotan vulnerabilidades, pero su efectividad es tan alta que los hackers pueden eludir la mayoría de las protecciones integradas.
Scattered Spider ya utilizó un enfoque similar durante el incidente de alto perfil que afectó a MGM Resorts en 2023. Hoy en día, cada vez más grupos adoptan estas tácticas. Una razón es el desconocimiento de la infraestructura de VMware en muchas organizaciones, lo que resulta en una protección insuficiente.
Para mitigar el riesgo, Google ha publicado una guía técnica centrada en tres áreas principales:
El grupo Scattered Spider, también conocido como UNC3944, Octo Tempest o 0ktapus, es uno de los más peligrosos del mundo. Destaca por su capacidad para realizar sutiles imitaciones sociales: los atacantes no solo copian los patrones de habla de los empleados, sino que también reproducen su pronunciación, vocabulario y estilo de comunicación. A pesar de las recientes detenciones de cuatro presuntos miembros en el Reino Unido, la actividad del grupo no ha cesado. De hecho, en los últimos meses, sus ataques se han vuelto cada vez más audaces y a gran escala.
RedazioneEl grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...
Si no se arranca la maleza de raíz, volverá a crecer, mucho más vigorosa que antes. Esto es ciberdelincuencia, y este es el nuevo renacimiento, ¡el quinto desde las raíces de ...
La inteligencia sobre amenazas cibernéticas (CTI) es la práctica de recopilar, analizar y utilizar información sobre amenazas cibernéticas para proteger a las organizaciones de act...
Una evaluación de vulnerabilidad es un proceso de evaluación de sistemas informáticos, redes y aplicaciones para identificar vulnerabilidades que podrían ser explotadas por atacant...
Sasha Levin, desarrollador del kernel de Linux con amplia experiencia en NVIDIA y anteriormente en Google y Microsoft, propuso añadir a la documentación del kernel reglas formales para el us...
Para más información: [email protected]
