Los piratas informáticos que presuntamente atacaron a más de 130 organizaciones el año pasado y robaron las credenciales de casi 10 000 empleados siguen apuntando a varias empresas de tecnología y videojuegos, según un informe obtenido por TechCrunch.
El informe, preparado por la firma de seguridad cibernética CrowdStrike, llama a los piratas informáticos «Araña dispersa». En un informe anterior disponible públicamente, la compañía dijo que este grupo también se conoce como «0ktapus asado» en una aparente referencia al informe publicado por Group-IB, otra firma de ciberseguridad, el año pasado.
Informes como el obtenido por TechCrunch son elaborados por empresas de inteligencia de amenazas para sus clientes, con la idea de alertarlos sobre piratas informáticos que están apuntando directamente a los clientes u otras empresas del mismo sector. En el informe, CrowdStrike señala que tiene una visibilidad limitada de la campaña de piratería dado que no tiene «artefactos forenses adicionales», refiriéndose a los datos que obtuvo directamente de las organizaciones objetivo. Es por eso que la compañía admite que tiene «poca confianza» en su evaluación de que esta es una actividad de Scattered Spider.
Dos expertos en seguridad cibernética, que pidieron permanecer en el anonimato ya que no estaban autorizados a hablar con la prensa, dijeron que el entendimiento dentro de la industria es que Scattered Spider es el mismo grupo que 0ktapus.
“Scattered Spider continuó implementando numerosas páginas de phishing en enero de 2023. CrowdStrike Intelligence evalúa que el adversario probablemente haya ampliado su alcance objetivo para incluir empresas del sector tecnológico que se especializan en juegos o software financiero, mientras mantiene un enfoque previo en empresas de subcontratación de procesos comerciales (BPO) y telefonía celular. proveedores”, se lee en el informe, que no está disponible públicamente.
No está claro si este es el mismo grupo que pirateó Riot Games el mes pasado, pero en una lista de dominios de phishing incluidos en el informe de CrowdStrike, hay uno que claramente se hizo para apuntar al gigante de los videojuegos dado que incluye el nombre de la compañía en la URL
Entre los dominios de phishing, también hay otros diseñados para hacerse pasar por los creadores de videojuegos Roblox y Zynga, el gigante del marketing por correo electrónico y boletines informativos Mailchimp y su empresa matriz Intuit, Salesforce, Comcast y Grubhub. TaskUs, un contratista que brinda servicio al cliente para empresas, incluidas Mailchimp, Intuit y otros gigantes tecnológicos, también estaba en la lista.
En enero, Mailchimp reveló que había sido pirateado, el segundo ataque contra la empresa en seis meses. En ese momento, Mailchimp dijo que los piratas informáticos se dirigieron a sus empleados a través del phishing. No está claro si este incidente está relacionado con las actividades de Scattered Spider. Mailchimp no respondió a una solicitud de comentarios.
Riot se negó a comentar.
El portavoz de Salesforce, Allen Tsai, dijo que la compañía está «consciente y monitorea las campañas de phishing en toda la industria».
“En este momento, no tenemos indicios de acceso no autorizado a datos de clientes relevantes para el informe citado”, dijo Tsai en un correo electrónico.
Un portavoz de Intuit no hizo comentarios porque no había visto el informe.
Roblox, Zynga, TaskUs, Comcast y Grubhub no respondieron de inmediato a una solicitud de comentarios.
El informe decía que «la mayoría» de las páginas de phishing del grupo de piratas informáticos fueron diseñadas para imitar los portales de inicio de sesión de Okta, «mientras que un número mucho menor se hizo pasar por Microsoft».
CrowdStrike no respondió a una solicitud de comentarios.
¿Eres suscriptor de Google Fi que también fue víctima de un ataque similar? ¿También recibiste una notificación personalizada de la empresa sobre el hackeo en tu contra? Nos encantaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.