Los piratas informáticos asociados con las tácticas de «araña dispersa» han ampliado su objetivo a las industrias de aviación y transporte después de atacar previamente los sectores de seguros y minoristas
Estos actores de amenaza han empleado un enfoque sector por sector, inicialmente dirigido a empresas minoristas, como EM y Cooperativaen el Reino Unido y el Estados Unidos y posteriormente cambiando su enfoque a las compañías de seguros.
Si bien los actores de amenaza no fueron nombrados oficialmente como responsables de los ataques del sector de seguros al principio, los incidentes recientes han impactado Aflac, Seguro de Eriey compañías de seguros de Filadelfia.
Los piratas informáticos se dirigen a la industria de la aviación
El 12 de junio, la segunda aerolínea más grande de Canadá, WestJet, sufrió un ataque cibernético Eso interrumpió brevemente los servicios internos y la aplicación móvil de la compañía.
Poco después de la violación, las fuentes le dijeron a BleepingComputer que Palo Alto Networks y Microsoft estaban ayudando en la respuesta al ataque.
El ataque se atribuyó a Spider disperso, que supuestamente comprometió los centros de datos de la compañía y su entorno de Microsoft Cloud.
BleepingComputer se informó que el actor de amenazas obtuvo acceso al realizar un restablecimiento de contraseña de autoservicio para un empleado, lo que les permitió registrar su propio MFA y obtener acceso remoto a la red a través de Citrix.
Mientras que otros actores de amenaza realizan ataques de identidad, Spiders Spider se ha asociado con esta táctica debido a su focalización regular de escritorios de ayuda y contraseña e infraestructura de MFA.
Hoy, Hawaiian Airlines también reveló que sufrió un ataque cibernético pero no proporcionó ningún detalle que pudiera indicar quién estaba detrás del ataque. Sin embargo, una fuente le dijo a BleepingComputer que se cree que los mismos actores de amenaza son responsables.
Sam Rubin de Palo Alto Networks, vicepresidente sénior de consultoría e inteligencia de amenazas, ahora ha confirmado en LinkedIn que la araña dispersa ha comenzado a dirigirse a la industria de la aviación.
«La Unidad 42 ha observado confuso Libra (también conocido como araña dispersa) dirigida a la industria de la aviación». advirtió a Rubin.
«Las organizaciones deben estar en alerta máxima por ataques de ingeniería social sofisticados y específicos y solicitudes de reinicio de MFA sospechosas».
Charles Carmakal de Mandiant también advirtió que los actores de amenaza ahora han cambiado su enfoque a los sectores de aviación y transporte.
«Alerta: Sptered Spider ha agregado organizaciones de aerolíneas y transporte de América del Norte a su lista de objetivos», Carmakal publicado en LinkedIn.
«Mandiant (parte de Google Cloud) es consciente de múltiples incidentes en la aerolínea y el sector de transporte que se asemejan a las operaciones de UNC3944 o una araña dispersa.
«Recomendamos que la industria tome medidas de inmediato para ajustar los procesos de verificación de identidad de su mesa de ayuda antes de agregar nuevos números de teléfono a las cuentas de empleados/contratistas (que el actor de amenazas puede utilizar para realizar restos de contraseña de autoservicio), restablecer contraseñas, agregar dispositivos a las soluciones de MFA o proporcionar información de empleados (identificaciones de los empleados) que podrían usarse para los ataques de ingeniería social posteriores».
American Airlines también está sufriendo una interrupción de TI, pero no está claro si es un incidente de seguridad. BleepingComuter contactó a la aerolínea pero no ha recibido una respuesta.
¿Qué es la araña dispersa?
Araña dispersa, también conocida como 0ktapusOcupación, UNC3944, Esparcir cerdos, Tempestad de octoy Libra confundidoes una clasificación de actores de amenaza que son expertos en usar ataques de ingeniería social, phishing, bombardeo de autenticación multifactor (MFA) (fatiga de MFA dirigida) e intercambio de SIM para obtener acceso inicial a la red en grandes organizaciones.
Estos actores de amenazas incluyen personas jóvenes de habla inglesa con diversos conjuntos de habilidades que frecuentan los mismos foros de hackers, canales de telegrama y servidores de discordia. Estos medios se usan para planificar y ejecutar ataques en tiempo real.
Se cree que algunos son parte de la «Com»: una comunidad suelta de actores de amenaza conocidos por el fraude financiero, el robo de criptomonedas, las infracciones de datos y los ataques de extorsión.
Si bien la araña dispersa se conoce comúnmente como una pandilla cohesiva, en realidad se usa para denotar a los actores de amenaza que utilizan tácticas específicas al realizar ataques. Como los ataques asociados con tácticas de araña dispersas también son comúnmente utilizados por diferentes individuos de una red suelta de actores de amenaza, dificulta rastrearlas.
A diferencia de muchos otros actores de amenazas de habla inglesa, se sabe que los asociados con «araña dispersa» se asocian con pandillas de ransomware de habla rusa, como Negro, Ransomhub, Hacery Dragonforce.
Otros ataques vinculados a una araña dispersa incluyen los de MGM, Marks & Spencer, Cooperativa, Twilio, Coinbase, Doordash, Césares, Mailchimp, Juegos antidisturbiosy Reddit.
Las organizaciones que se defienden contra este tipo de actor de amenaza deben comenzar con la obtención de una visibilidad completa en toda la infraestructura, los sistemas de identidad y los servicios de gestión crítica.
Esto incluye asegurar plataformas de restablecimiento de contraseña de autoservicio y escritorios de ayuda, objetivos comunes de estos actores de amenazas.
Ambos Google Threat Intelligence Group (GTIG) y Palo Alto Networks han publicado guías para endurecer las defensas contra el tácticas conocidas de «araña dispersa» utilizado por estos actores de amenaza.
Se aconseja a todos los administradores que se familiaricen con estos consejos y endurecen sus plataformas y procesos de identidad.
ACTUALIZACIÓN 27/06/25: Agregó que American Airlines actualmente está sufriendo una interrupción de TI.
El parche solía significar scripts complejos, largas horas y simulacros de fuego interminables. Ya no.
En esta nueva guía, Tines desglosa cómo las organizaciones modernas de TI están subiendo de nivel con la automatización. Parche más rápido, reduzca la sobrecarga y concéntrese en el trabajo estratégico, no se requieren scripts complejos.
Obtenga la guía gratuita