Redazione RHC : 28 julio 2025 14:48
El grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de transporte y de seguros. Estos ataques no explotan las vulnerabilidades tradicionales del software, sino que demuestran un dominio de las técnicas de ingeniería social que les permiten eludir incluso los sistemas más seguros.
Según el Grupo de Inteligencia de Amenazas de Google, la fase inicial del ataque se basa en suplantar la identidad de un empleado de la empresa en una conversación con el equipo de soporte técnico. El atacante logra cambiar la contraseña del usuario en Active Directory, obteniendo así acceso inicial a la red interna. A continuación, se inicia la búsqueda de documentación técnica valiosa y cuentas clave, principalmente administradores de dominio y de entorno de VMware vSphere, así como miembros de grupos con permisos ampliados.
Paralelamente, se realizan análisis para detectar la presencia de soluciones de tipo PAM (Administración de Acceso Privilegiado), que podrían contener datos confidenciales y contribuir al desarrollo de la infraestructura. Tras obtener los nombres de los usuarios con privilegios, los atacantes realizan repetidas llamadas, haciéndose pasar por administradores, y reinician las contraseñas, pero esta vez para obtener acceso privilegiado.
El siguiente paso es obtener el control del servidor de administración de entornos virtuales (vCSA), VMware vCenter, que administra toda la arquitectura ESXi y las máquinas virtuales en los hosts físicos. Una vez obtenido este nivel de acceso, los atacantes habilitan SSH en los hosts ESXi, restablecen las contraseñas root y proceden a realizar un ataque de reemplazo de disco virtual.
La técnica consiste en apagar un controlador de dominio, desconectar su disco virtual y conectarlo a otra máquina virtual controlada. Allí, los atacantes copian el archivo NTDS.dit, que es la base de datos de Active Directory con hashes de contraseñas, y luego devuelven el disco y encienden la máquina original. Este enfoque permite extraer datos críticos sin levantar sospechas a nivel de eventos del sistema operativo.
Con el control total de la virtualización, los atacantes también obtienen acceso a los sistemas de respaldo. Cancelan programaciones, eliminan instantáneas y destruyen archivos de respaldo. La etapa final del ataque consiste en implementar cifrado criptográfico mediante conexiones SSH a todas las máquinas virtuales de los archivos. El resultado es un cifrado masivo de datos y la pérdida total de control por parte de la organización.
Google describe la arquitectura del ataque en cinco fases: desde la ingeniería social hasta la toma de control de toda la infraestructura ESXi. En la práctica, toda la cadena, desde la primera llamada de soporte hasta la implementación del ransomware, puede tardar solo unas horas. Cabe destacar que estos ataques no explotan vulnerabilidades, pero su efectividad es tan alta que los hackers pueden eludir la mayoría de las protecciones integradas.
Scattered Spider ya utilizó un enfoque similar durante el incidente de alto perfil que afectó a MGM Resorts en 2023. Hoy en día, cada vez más grupos adoptan estas tácticas. Una razón es el desconocimiento de la infraestructura de VMware en muchas organizaciones, lo que resulta en una protección insuficiente.
Para mitigar el riesgo, Google ha publicado una guía técnica centrada en tres áreas principales:
El grupo Scattered Spider, también conocido como UNC3944, Octo Tempest o 0ktapus, es uno de los más peligrosos del mundo. Destaca por su capacidad para realizar sutiles imitaciones sociales: los atacantes no solo copian los patrones de habla de los empleados, sino que también reproducen su pronunciación, vocabulario y estilo de comunicación. A pesar de las recientes detenciones de cuatro presuntos miembros en el Reino Unido, la actividad del grupo no ha cesado. De hecho, en los últimos meses, sus ataques se han vuelto cada vez más audaces y a gran escala.
RedazioneMillones de personas usan VPN móviles para ocultar su tráfico, evitar bloqueos y navegar por internet de forma segura. Una investigación de Zimperium zLabs reveló que un número significativo de a...
Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
