GRUPO SCATTERED SPIDER ATACA EMPRESAS DE TELECOMUNICACIONES

19/01/2023

BOLETÍN NRO 2023-046

Recientemente se ha detectado un grupo chino de amenazas APT llamado "Scattered Spider", estan dirigiendo una campaña de intercambio de tarjetas SIM en empresas de telecomunicaciones y firmas de subcontratación de procesos comerciales (BPO).

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

El objetivo de Scattered Spider es obtener acceso a las redes de operadores de las empresas. Una vez que obtienen acceso, utilizan el proceso de intercambio de SIM para transferir el número de teléfono de otra persona a su propia tarjeta SIM.

Luego, pueden usar el número secuestrado para acceder a cuentas bancarias o cualquier otra cuenta en la que el usuario legítimo haya registrado el teléfono, como una segunda forma de autenticación. El secuestro de SIM también les permite registrar y asociar dispositivos no autorizados a cuentas en redes comprometidas.

Scattered Spider obtuvo acceso inicial a las redes de las empresas de telecomunicaciones y BPO, haciéndose pasar por personal de TI y convenciendo a las personas que trabajan en estas organizaciones para que se desprendan de sus credenciales o concedan acceso remoto a sus computadoras.

Una vez dentro del entorno de destino, los actores de amenazas se movían lateralmente a través de él, a menudo utilizando herramientas legítimas como la herramienta de administración de Windows, hasta que obtuvieron acceso a la red del operador.

La campaña de Scattered Spider parece estar motivada financieramente, y es diferente de los muchos ataques a las redes de los operadores centrados en el espionaje cibernético. El grupo se ha centrado en varias empresas de telecomunicaciones desde al menos junio de 2022 y simplemente ha seguido moviéndose hacia diferentes objetivos cada vez que lo expulsan de uno, lo que llevó a describir la campaña como una amenaza "extremadamente persistente y descarada".

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Cybercriminals Target Telecom Provider Networks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​