[Ciberseguridad] Nuevos indicadores de la amenaza de Scattered Spider para las empresas y la aviación

Scattered Spider, un sofisticado grupo de ciberamenazas conocido por su agresiva ingeniería social y phishing dirigido, está ampliando su alcance, especialmente en el sector de la aviación, además de en entornos empresariales. Check Point Research descubrió indicadores específicos de dominio de phishing, lo que ayuda a empresas y compañías de aviación a defenderse proactivamente contra esta amenaza emergente.

Ataques recientes a la aviación vinculados a Scattered Spider

En una escalada significativa, informes recientes de prensa y avisos de inteligencia han vinculado a Scattered Spider con ciberataques a importantes aerolíneas, en particular la filtración de datos de julio de 2025 que afectó a seis millones de clientes de Qantas. Los analistas de ciberseguridad detectaron tácticas como la fatiga de MFA y el phishing de voz (vishing), que coinciden estrechamente con los métodos conocidos de Scattered Spider.

Incidentes similares que involucraron a Hawaiian Airlines y WestJet han resaltado aún más la urgencia de abordar las vulnerabilidades de los proveedores externos relacionados con la aviación.

Indicadores Clave de Segmentación (Dominios de Phishing)

Check Point Research ha identificado un patrón consistente en la infraestructura de phishing registrada por Scattered Spider. Estos dominios imitan fielmente los portales de inicio de sesión corporativos legítimos y están diseñados para engañar a los empleados para que revelen sus credenciales.

Las convenciones de nomenclatura típicas incluyen:

• victimname-sso.com

• victimname-servicedesk.com

• victimname-okta.com

Durante una investigación dirigida, los investigadores de Check Point identificaron aproximadamente 500 dominios que siguen las convenciones de nomenclatura conocidas de Scattered Spider, lo que indica una posible infraestructura de phishing en uso o preparada para futuros ataques. Si bien algunos de estos dominios parecen dirigirse a organizaciones de tecnología, comercio minorista y aviación, otros se hacen pasar por empresas de un conjunto mucho más amplio de industrias, como la manufactura, la tecnología médica, los servicios financieros y las plataformas empresariales. Esta segmentación intersectorial subraya el enfoque oportunista del grupo, adaptándose a vulnerabilidades de alto valor en lugar de centrarse en un sector vertical específico. Algunos ejemplos de dominios observados incluyen:

• chipotle-sso[.]com

• gemini-servicedesk[.]com

• hubspot-okta[.]com

Si bien no se ha confirmado que todos los dominios sean activamente maliciosos, su coincidencia con las tácticas, técnicas y procedimientos conocidos sugiere firmemente una intención de ataque.

Estos hallazgos resaltan aún más la importancia de la monitorización de amenazas independiente del sector y refuerzan la idea de que ningún sector es inmune a las sofisticadas campañas de ingeniería social.

¿Quiénes son Scattered Spider?

La información disponible públicamente describe a Scattered Spider como:

• Activo desde al menos 2022, compuesto principalmente por jóvenes (de 19 a 22 años) de EE. UU. y el Reino Unido.

• Motivado financieramente, se centra en el ransomware, el robo de credenciales y la infraestructura en la nube.

• Utiliza técnicas avanzadas de ingeniería social, como la manipulación de MFA y la suplantación de voz.

• Utiliza herramientas de acceso remoto y malware para intrusiones persistentes.

Herramientas y técnicas utilizadas por Scattered Spider

Scattered Spider emplea una amplia gama de sofisticados métodos de ataque para infiltrarse en sus objetivos y mantener el acceso a largo plazo:

Métodos de ingeniería social:

• Phishing dirigido

• Intercambio de SIM

• Fatiga de la autenticación multifactor (MFA) ("push bombing")

• Suplantación de identidad por teléfono y SMS

• Engañamiento de empleados para que instalen herramientas de acceso remoto

• Captura de contraseñas de un solo uso o coacción de los usuarios para que aprueben las solicitudes de MFA

Herramientas de acceso remoto:

• Fleetdeck.io, Level.io, Ngrok, Pulseway, ScreenConnect

• Splashtop, Tactical RMM, Tailscale, TeamViewer

• Mimikatz (herramienta de volcado de credenciales)

Malware:

• WarZone RAT (versión filtrada)

• Raccoon Stealer

• Vidar Stealer

Ransomware:

• BlackCat / ALPHV (Ransomware-as-a-Service)

Recomendaciones integrales

Check Point recomienda las siguientes estrategias defensivas, adaptadas tanto a empresas como a organizaciones de aviación:

Para empresas:

• Monitorización de dominios: Escanear continuamente los registros de dominios y bloquear aquellos sospechosos que coincidan con los patrones de arañas dispersas.

• Capacitación de empleados: Realizar simulacros y capacitaciones de concienciación centradas en el abuso de MFA y el vishing.

• Autenticación adaptativa: Implementar soluciones inteligentes de MFA con detección de anomalías de comportamiento.

• Seguridad de endpoints: Garantizar una detección y respuesta robustas en endpoints en toda la organización.

Para organizaciones del sector de la aviación:

• Gestión de riesgos de proveedores: Auditar a los proveedores de servicios externos, en particular a los centros de llamadas, para verificar los controles de acceso y la madurez de la seguridad.

• Verificación robusta de identidad: Exigir verificación por capas para el restablecimiento de contraseñas y las solicitudes de soporte relacionadas con MFA.

• Respuesta a incidentes específicos del sector: Establecer estrategias de respuesta adaptadas a las filtraciones de datos que involucran datos de pasajeros y plataformas de fidelización.