Redazione RHC : 28 julio 2025 14:48
El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de transporte y de seguros. Estos ataques no explotan las vulnerabilidades tradicionales del software, sino que demuestran un dominio de las técnicas de ingeniería social que les permiten eludir incluso los sistemas más seguros.
Según el Grupo de Inteligencia de Amenazas de Google, la fase inicial del ataque se basa en suplantar la identidad de un empleado de la empresa en una conversación con el equipo de soporte técnico. El atacante logra cambiar la contraseña del usuario en Active Directory, obteniendo así acceso inicial a la red interna. A continuación, se inicia la búsqueda de documentación técnica valiosa y cuentas clave, principalmente administradores de dominio y de entorno de VMware vSphere, así como miembros de grupos con permisos ampliados.
Paralelamente, se realizan análisis para detectar la presencia de soluciones de tipo PAM (Administración de Acceso Privilegiado), que podrían contener datos confidenciales y contribuir al desarrollo de la infraestructura. Tras obtener los nombres de los usuarios con privilegios, los atacantes realizan repetidas llamadas, haciéndose pasar por administradores, y reinician las contraseñas, pero esta vez para obtener acceso privilegiado.
El siguiente paso es obtener el control del servidor de administración de entornos virtuales (vCSA), VMware vCenter, que administra toda la arquitectura ESXi y las máquinas virtuales en los hosts físicos. Una vez obtenido este nivel de acceso, los atacantes habilitan SSH en los hosts ESXi, restablecen las contraseñas root y proceden a realizar un ataque de reemplazo de disco virtual.
La técnica consiste en apagar un controlador de dominio, desconectar su disco virtual y conectarlo a otra máquina virtual controlada. Allí, los atacantes copian el archivo NTDS.dit, que es la base de datos de Active Directory con hashes de contraseñas, y luego devuelven el disco y encienden la máquina original. Este enfoque permite extraer datos críticos sin levantar sospechas a nivel de eventos del sistema operativo.
Con el control total de la virtualización, los atacantes también obtienen acceso a los sistemas de respaldo. Cancelan programaciones, eliminan instantáneas y destruyen archivos de respaldo. La etapa final del ataque consiste en implementar cifrado criptográfico mediante conexiones SSH a todas las máquinas virtuales de los archivos. El resultado es un cifrado masivo de datos y la pérdida total de control por parte de la organización.
Google describe la arquitectura del ataque en cinco fases: desde la ingeniería social hasta la toma de control de toda la infraestructura ESXi. En la práctica, toda la cadena, desde la primera llamada de soporte hasta la implementación del ransomware, puede tardar solo unas horas. Cabe destacar que estos ataques no explotan vulnerabilidades, pero su efectividad es tan alta que los hackers pueden eludir la mayoría de las protecciones integradas.
Scattered Spider ya utilizó un enfoque similar durante el incidente de alto perfil que afectó a MGM Resorts en 2023. Hoy en día, cada vez más grupos adoptan estas tácticas. Una razón es el desconocimiento de la infraestructura de VMware en muchas organizaciones, lo que resulta en una protección insuficiente.
Para mitigar el riesgo, Google ha publicado una guía técnica centrada en tres áreas principales:
El grupo Scattered Spider, también conocido como UNC3944, Octo Tempest o 0ktapus, es uno de los más peligrosos del mundo. Destaca por su capacidad para realizar sutiles imitaciones sociales: los atacantes no solo copian los patrones de habla de los empleados, sino que también reproducen su pronunciación, vocabulario y estilo de comunicación. A pesar de las recientes detenciones de cuatro presuntos miembros en el Reino Unido, la actividad del grupo no ha cesado. De hecho, en los últimos meses, sus ataques se han vuelto cada vez más audaces y a gran escala.
RedazioneA menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
Un hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
