El Departamento de Justicia de los Estados Unidos (DoJ) reveló ayer cargos penales contra cinco personas, incluido un ciudadano británico de 22 años llamado Tyler Robert Buchanan, por su presunta participación en los ciberataques de Scattered Spider.
Durante su ataque criminal, la pandilla utilizó técnicas de ingeniería social para engañar a sus víctimas y obligarlas a entregar credenciales vitales, a menudo relacionadas con los servicios de asistencia técnica de TI. Lo más famoso es que atacaron dos pilares de la industria del entretenimiento de Las Vegas: Caesars Entertainment y MGM Resorts.
Buchanan, quien fue arrestado en junio de 2024 en España, enfrenta cargos de conspiración para cometer fraude electrónico, conspiración, fraude electrónico y robo de identidad agravado. Ya estaba en el radar de las autoridades tras una redada en su casa en Escocia en 2023, en la que la policía recuperó pruebas que lo implicaban como un miembro clave de la pandilla.
Los cuatro ciudadanos estadounidenses nombrados son: Ahmed Hossam Edin Elbadaway, alias AD, de 23 años; Noah Michael Urban, alias Sosa y Elijah, de 20 años; Evans Onyeaka Osiebo, de 20 años; y Joel Martin Evans, también conocido como joeleoli, de 25 años.
Evans fue arrestado el martes 19 de noviembre en Carolina del Norte, mientras que Urban, quien fue arrestado en un caso separado a principios de este año, también está bajo custodia.
En conjunto, los hombres están acusados de un cargo de conspiración para cometer fraude electrónico, un cargo de conspiración y un cargo de robo de identidad agravado.
“Alegamos que este grupo de ciberdelincuentes perpetró un sofisticado plan para robar propiedad intelectual e información privada por valor de decenas de millones de dólares y robar información personal perteneciente a cientos de miles de personas”, dijo el fiscal estadounidense Martín Estrada.
“Como muestra este caso, el phishing y la piratería se han vuelto cada vez más sofisticados y pueden provocar enormes pérdidas. Si algo en el mensaje de texto o correo electrónico que recibió o en el sitio web que está viendo parece incorrecto, probablemente lo sea”.
Akil Davis, subdirector a cargo de la oficina local del FBI en Los Ángeles, agregó: “Los acusados supuestamente se aprovecharon de víctimas desprevenidas en este esquema de phishing y utilizaron su información personal como puerta de entrada para robar millones en sus cuentas de criptomonedas.
“Este tipo de solicitudes fraudulentas son omnipresentes y roban a las víctimas estadounidenses el dinero que tanto les costó ganar con solo hacer clic con el mouse. Estoy orgulloso de nuestros ciberagentes estelares cuyo trabajo condujo a la identificación de los presuntos conspiradores que se enfrentan a una importante pena de prisión si son declarados culpables”.
Cada acusado enfrenta una sentencia de prisión máxima legal de 27 años si es declarado culpable, mientras que Buchanan enfrenta una sentencia adicional de 20 años por el cargo de fraude electrónico.
Araña dispersa interior
Los documentos revelados esta semana revelan una extensa campaña de actividad maliciosa que comenzó a finales de 2021 y se prolongó hasta 2023, aunque la pandilla continuó operando con un manual revisado hasta hace poco.
Los acusados están acusados de llevar a cabo ataques de phishing generalizados utilizando mensajes SMS masivos a los empleados de las víctimas objetivo, pretendiendo provenir de la empresa víctima o de un proveedor de servicios de TI contratado (a menudo Okta, a quien la pandilla también victimizó implacablemente, y durante un tiempo, fue también marcado como 0ktapus.
Con frecuencia, estos mensajes SMS indicaban que la cuenta del empleado estaba a punto de ser bloqueada o desactivada y “convenientemente” proporcionaban un enlace para ayudarles a solucionar este problema. Naturalmente, este vínculo conducía en realidad a un sitio web falsificado en el que las víctimas involuntarias ingresaban fácilmente sus credenciales de inicio de sesión, y muchas de ellas también autentificaban sus identidades mediante autenticación multifactor (MFA).
Con estas credenciales obtenidas, Scattered Spider pudo acceder a las cuentas de los empleados de las empresas víctimas y desde allí obtener un acceso más profundo a los sistemas de TI de sus víctimas, robando datos confidenciales e información de identificación personal (PII).
En ocasiones, la pandilla también utilizó ransomware en sus víctimas, actuando como afiliado de la operación ALPHV/BlackCat.
Las autoridades creen que Scattered Spider utilizó a menudo los datos que obtuvo para obtener acceso no autorizado a numerosas cuentas y carteras de criptomonedas, y puede haber robado millones de dólares en moneda virtual.
Scattered Spider pudo ser particularmente efectivo contra víctimas en el Reino Unido y EE. UU. porque sus miembros principales eran hablantes nativos de inglés. Esto les permitió parecer más convincentes en sus mensajes e interacciones, en comparación con los hablantes de ruso, que con frecuencia pueden ser desenmascarados gracias a diversas peculiaridades lingüísticas, en particular el mal uso u omisión del artículo definido cuando hablan inglés.
La pandilla también era algo conocida por amenazar con represalias en el mundo real contra las víctimas que no cumplían, y las personas informaron que les dijeron que perderían sus trabajos o enfrentarían represalias físicamente violentas contra ellos y sus familias.
“En lugar de utilizar el phishing básico por correo electrónico, los atacantes dieron un paso más para hacer que su ataque pareciera más convincente”, dijo William Wright, director ejecutivo de Closed Door Security, con sede en Escocia.
“Rastrearon a un empleado en LinkedIn y luego se pusieron en contacto con un trabajador del servicio de asistencia técnica de TI para solicitarle un restablecimiento de contraseña. Una vez que se aseguró la nueva contraseña, llevaron a cabo un ataque de fatiga MFA que fue suficiente para otorgarles acceso al sistema. El único ataque estuvo muy dirigido, pero sus resultados fueron inmensos.
“El ataque destacó que cuando se trata de ingeniería social, los delincuentes tienen muchos trucos bajo la manga. Para contrarrestar estas amenazas, las organizaciones deben realizar pruebas de seguridad en sus redes para identificar debilidades entre los empleados o la arquitectura digital”, dijo.
Consecuencias
“Estos individuos, y otros actores con los que han colaborado, han causado mucho dolor y daño financiero a las organizaciones… a través de sus intrusiones disruptivas”, dijo Charles Carmakal, director de tecnología de Mandiant, propiedad de Google Cloud.
“Esta es una buena victoria para las fuerzas del orden que con el tiempo ha obstaculizado significativamente el ritmo rápido del grupo este año. Esperamos que esto envíe un mensaje a los demás actores con los que colaboran de que no son inmunes a las consecuencias”.