Los Hackers de Scattered Spider ahora apuntan a las compañías de seguros de EE.UU.

El grupo de ciberdelincuentes Scattered Spider, que opera bajo el alias UNC3944, ha comenzado a atacar a compañías de seguros en todo Estados Unidos

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha confirmado múltiples intrusiones recientes que coinciden con los métodos típicos del grupo, que utilizan tácticas avanzadas de ingeniería social para superar sistemas robustos de ciberseguridad.

“El Grupo de Inteligencia de Amenazas de Google ahora está al tanto de múltiples intrusiones en EE.UU. que presentan todas las características de la actividad de Scattered Spider. Ahora estamos viendo incidentes en la industria de seguros”, dijo John Hultquist, analista jefe en GTIG, a Bleeping Computer.

Dado que Scattered Spider tiende a atacar un sector a la vez, Hultquist advierte que “la industria de seguros debe estar en máxima alerta”.

Anteriormente, el grupo atacó a importantes minoristas del Reino Unido como Marks & Spencer y Harrods mediante tácticas de phishing, intercambio de SIM y fatiga de MFA para obtener acceso al sistema y desplegar ransomware como DragonForce y RansomHub. Estas herramientas están diseñadas para extraer datos valiosos, mientras exigen pagos de rescate para restaurar el acceso a sistemas esenciales.

Los hackers inician sus ataques pretendiendo ser personal de asistencia técnica mientras utilizan comunicaciones generadas por IA para engañar a sus objetivos, según GTIG y otros expertos. Los atacantes obtienen acceso para elevar sus privilegios antes de moverse a través de diferentes sistemas dentro de la empresa.

El grupo opera con objetivos financieros mientras utiliza métodos de comunicación directa para dirigirse a organizaciones que tienen grandes equipos de IT y servicio al cliente, a los cuales pueden manipular a través de la ingeniería social.

GTIG aconseja a las organizaciones fortalecer sus medidas de protección de identidad mientras mejoran los protocolos de autenticación y proporcionan capacitación al personal sobre tácticas de suplantación a través de correo electrónico, teléfono y sistemas de mensajería.

Las organizaciones deberían implementar un monitoreo activo para detectar actividades de inicio de sesión anómalas mientras revisan sus procedimientos de restablecimiento de credenciales de la mesa de ayuda para los empleados que poseen acceso a sistemas de alto nivel.

La comunidad de ciberseguridad reconoce a UNC3944 como una gran amenaza porque el grupo mantiene suficientes recursos para enviar mensajes de estafa a casi todos los ciudadanos estadounidenses varias veces a lo largo del año.