Los actores de amenazas conocidos como UNC3944, según los informes de la firma de seguridad Mandiant, están dando un giro significativo en su enfoque de monetización, incluyendo el despliegue de ransomware entre sus tácticas, y es que, hasta ahora, este grupo ha destacado por su capacidad para robar grandes cantidades de datos confidenciales con el objetivo de extorsionar a sus víctimas.
Mandiant, ha observado que UNC3944 se ha apoyado consistentemente en herramientas disponibles públicamente y software legítimo, a menudo combinados con malware adquirido en foros clandestinos. Esta combinación de métodos les ha permitido operar de manera sigilosa y efectiva en su búsqueda de obtener beneficios financieros.
El grupo, que también responde a los nombres de 0ktapus, Scatter Swine y Scattered Spider, ha estado activo desde principios de 2022 y ha adoptado una serie de tácticas ingeniosas. Estas incluyen el uso de ingeniería social basada en llamadas telefónicas y el phishing a través de mensajes de texto (smishing) para obtener credenciales válidas de empleados. Una vez que han obtenido estas credenciales, utilizan páginas de inicio de sesión falsas para infiltrarse en las organizaciones víctimas. Estas tácticas son sorprendentemente similares a las utilizadas por otro grupo llamado LAPSUS$.
Inicialmente, UNC3944 se centraba en sectores como las telecomunicaciones y la externalización de procesos comerciales. Sin embargo, han ampliado sus objetivos para incluir sectores como el hotelero, la venta al por menor, los medios y el entretenimiento, así como los servicios financieros. Esta expansión en su alcance demuestra la creciente amenaza que representan.
Una táctica distintiva de este grupo es su capacidad para suplantar a los empleados utilizando las credenciales robadas en llamadas al servicio de ayuda de las organizaciones víctimas. Su objetivo principal es obtener códigos de autenticación de múltiples factores (MFA) y restablecer contraseñas. Un incidente notable implicó la instalación de malware RECORDSTEALER a través de una descarga de software falsa, lo que facilitó el robo de credenciales. Utilizan kits de phishing como EIGHTBAIT para crear páginas de inicio de sesión falsas y envían las credenciales capturadas a través de un canal de Telegram controlado por el grupo, además de desplegar AnyDesk.
El grupo también emplea una variedad de programas de robo de información y herramientas de robo de credenciales, como Atomic, ULTRAKNOT, Meduza y Vidar, para obtener el acceso necesario y ampliar sus operaciones. Para evadir la detección, utilizan servicios comerciales de proxy residencial y realizan extensas exploraciones de directorios y redes para escalar privilegios y mantener su presencia en los sistemas comprometidos.
Además, UNC3944 ha abusado de los recursos en la nube de las organizaciones víctimas para alojar utilidades maliciosas. Esto les permite deshabilitar cortafuegos y software de seguridad, lo que subraya su evolución y sofisticación en el mundo del hacking.
Recientemente, este grupo ha surgido como afiliado de la banda de ransomware BlackCat (también conocida como ALPHV o Noberus). Aprovechando su nuevo estatus, lograron infiltrarse en MGM Resorts y distribuir ransomware. Estos actores de amenazas operan con una rapidez extrema, accediendo a sistemas críticos y exfiltrando grandes volúmenes de datos en cuestión de días. Cuando despliegan ransomware, suelen apuntar específicamente a máquinas virtuales críticas para el negocio y otros sistemas, con el objetivo de maximizar el impacto en la víctima.
Más información: https://unaaldia.hispasec.com/2023/09/el-grupo-unc3944-cambia-su-operativa-con-ataques-de-ransomware.html