Detenido el presunto jefe del grupo de hackers ‘Scattered Spider’

Un hombre del Reino Unido de 22 años detenido esta semana en España es presuntamente el líder de Araña dispersagrupo de cibercrimen sospechoso de atacar Twilio, Ultimo pase, PuertaDash, correochimpy casi otras 130 organizaciones en los últimos dos años.

El diario español Murcia hoy informa que el sospechoso era buscado por el FBI y arrestado en Palma de Mallorca cuando intentaba abordar un vuelo a Italia.

«Se le acusa de piratear cuentas corporativas y robar información crítica, lo que supuestamente permitió al grupo acceder a fondos por valor de varios millones de dólares», escribió Murcia Today. «Según la policía de Palma, en un momento controló Bitcoins por valor de 27 millones de dólares.»

Cuenta Twitter/X centrada en el cibercrimen vx-subterráneo dijo que el hombre británico arrestado era un intercambiador de SIM quien se hacía llamar «tyler.” En un ataque de intercambio de SIM, los delincuentes transfieren el número de teléfono del objetivo a un dispositivo que controlan e interceptan cualquier mensaje o llamada telefónica enviada a la víctima, incluidos códigos de acceso de un solo uso para autenticación o enlaces de restablecimiento de la contraseña enviada por SMS.

«Es un conocido intercambiador de SIM y supuestamente está involucrado con la infame pandilla Scattered Spider», escribió vx-underground el 15 de junio, refiriéndose a una prolífica pandilla implicada en costosos ataques de rescate de datos en los casinos MGM y Caesars en Las Vegas el año pasado.

Fuentes familiarizadas con la investigación dijeron a KrebsOnSecurity que el acusado es un hombre de 22 años de Dundee, Escocia, llamado Tyler Buchanansupuestamente también conocido como «tylerb”en los canales de chat de Telegram centrados en el intercambio de SIM.

En enero de 2024, las autoridades estadounidenses arrestaron a otro presunto miembro de Scattered Spider, un joven de 19 años. Noé Michael Urban de Palm Coast, Florida. – y lo acusó de robar al menos 800.000 dólares a cinco víctimas entre agosto de 2022 y marzo de 2023. Urban supuestamente usaba los apodos “Sosa» y «rey bob,”y se cree que es parte del mismo equipo que atacó a Twilio y muchas otras empresas en 2022.

Los investigadores dicen que los miembros de Scattered Spider son parte de una comunidad cibercriminal más extendida en Internet conocida como «El COM”, donde piratas informáticos de diferentes camarillas se jactan de robos cibernéticos de alto perfil que casi siempre comienzan con ingeniería social: engañar a las personas por teléfono, correo electrónico o SMS para que proporcionen credenciales que permiten el acceso remoto a redes corporativas internas.

Uno de los canales de intercambio de SIM más populares en Telegram mantiene una clasificación actualizada con frecuencia de los intercambios de SIM más exitosos, indexados por sus supuestos logros en el robo de criptomonedas. Esa tabla de clasificación actualmente ubica a Sosa en el puesto 24 (de 100) y a Tylerb en el puesto 65.

0 KTAPUS

En agosto de 2022, KrebsOnSecurity escribió sobre el análisis de datos internos recopilados en una larga campaña de cibercrimen por parte de Scattered Spider que involucró una serie de ataques de phishing basados ​​en SMS contra empleados de grandes corporaciones. la empresa de seguridad Grupo-IB llamar a la pandilla por un nombre diferente – 0 polloun guiño a cómo el grupo criminal phishing a los empleados para obtener credenciales.

Las misivas pedían a los usuarios que hicieran clic en un enlace y entraran en una página de phishing que imitaba la de su empleador. octava página de autenticación. A quienes enviaron sus credenciales se les pidió que proporcionaran la contraseña de un solo uso requerida para la autenticación multifactor.

Estos ataques de phishing utilizaron dominios recién registrados que a menudo incluían el nombre de la empresa objetivo y enviaban mensajes de texto animando a los empleados a hacer clic en enlaces a estos dominios para ver información sobre un cambio pendiente en su horario de trabajo. Los sitios de phishing también presentaban un robot oculto de mensajes instantáneos de Telegram para reenviar cualquier credencial enviada en tiempo real, lo que permitía a los atacantes usar el nombre de usuario, la contraseña y el código de un solo uso phishing para iniciar sesión como ese empleado en el sitio web del empleador real.

Una de las primeras grandes víctimas de Scattered Spider en su ola de phishing por SMS de 2022 fue Twilio, una empresa que brinda servicios para realizar y recibir mensajes de texto y llamadas telefónicas. Luego, el grupo dio media vuelta y utilizó su acceso a Twilio para atacar al menos a 163 de sus clientes.

Entre ellos se encontraba la aplicación de mensajería cifrada. Firmarque decía que la infracción podría haber permitido a los atacantes volver a registrar el número de teléfono en otro dispositivo para unos 1.900 usuarios.

También en agosto de 2022, varios empleados de la empresa de entrega de correo electrónico Mailchimp proporcionaron sus credenciales de acceso remoto a este grupo de phishing. Según Mailchimp, los atacantes utilizaron su acceso a las cuentas de los empleados de Mailchimp para robar datos de 214 clientes involucrados en criptomonedas y finanzas.

El 25 de agosto de 2022, el servicio de gestión de contraseñas LastPass reveló una infracción en la que los atacantes robaron parte del código fuente patentado e información técnica de LastPass, y semanas después, LastPass dijo que una investigación reveló que no se había accedido a ningún dato de cliente ni a la bóveda de contraseñas.

Sin embargo, el 30 de noviembre de 2022, LastPass reveló una infracción mucho más grave que, según la compañía, tomó datos robados en la infracción de agosto. LastPass dijo que los piratas informáticos robaron copias cifradas de algunas bóvedas de contraseñas, así como otra información personal.

En febrero de 2023, LastPass reveló que la intrusión implicaba un ataque dirigido muy complejo contra un ingeniero que era uno de los cuatro únicos empleados de LastPass con acceso a la bóveda corporativa. En ese incidente, los atacantes explotaron una vulnerabilidad de seguridad en un servidor de medios Plex que el empleado estaba ejecutando en su red doméstica y lograron instalar software malicioso que robó contraseñas y otras credenciales de autenticación. La vulnerabilidad explotada por los intrusos fue reparada en 2020, pero el empleado nunca actualizó su software Plex.

Plex anunció su propia filtración de datos un día antes de que LastPass revelara su intrusión inicial de agosto. El 24 de agosto de 2022, el equipo de seguridad de Plex instó a los usuarios a restablecer sus contraseñas, diciendo que un intruso había accedido a los correos electrónicos de los clientes y había cifrado nombres de usuarios y contraseñas.

GUERRA POR EL TERRITORIO

Sosa y Tylerb fueron objeto de ataques físicos por parte de bandas rivales de cambios de SIM. Se sabe que estas comunidades ajustan cuentas recurriendo a las llamadas ofertas de «violencia como servicio» en canales de ciberdelincuencia, donde se puede contratar a personas para realizar una variedad de trabajos geográficamente específicos «en la vida real», como albañilería. ventanas, cortando neumáticos de automóviles o incluso allanamientos de viviendas.

En 2022, apareció un vídeo en un popular canal de ciberdelincuencia que pretendía mostrar a atacantes lanzando ladrillos a través de una ventana en una dirección que coincidía con la espaciosa y exclusiva casa de los padres de Urban en Sanford, Florida.

La historia de enero sobre Sosa señaló que un joven miembro de su tripulación llamado «Foreshadow» fue secuestrado, golpeado y retenido para pedir rescate en septiembre de 2022. Los capitanes de Foreshadow apuntaron con armas a su cabeza ensangrentada mientras lo obligaban a grabar un mensaje de video pidiéndole a su tripulación que bifurcara. encima. con un rescate de 200.000 dólares a cambio de su vida (Foreshadow escapó de mayores daños en ese incidente).

Según varios canales de intercambio de SIM en Telegram que se sabía que Tylerb frecuentaba, intercambiadores de SIM rivales contrataron matones para invadir su casa en febrero de 2023. Esas cuentas afirman que los intrusos atacaron a la madre de Tylerb en el allanamiento de morada y que amenazaron con quemarla. Quemarlo con un soplete si no entregaba las llaves de sus billeteras de criptomonedas. Se decía que Tylerb había huido del Reino Unido después de ese ataque.

KrebsOnSecurity ha solicitado comentarios al Sr. Buchanan y actualizará esta historia si responde.