Detenidos cinco miembros del grupo pirata Scattered Spider

Cinco hombres de unos veinte años fueron acusados ​​por las autoridades estadounidenses el miércoles 20 de noviembre. Se sospecha que pertenecen a un siniestro grupo de hackers apodado Scattered Spider por los especialistas en seguridad informática, y con un objetivo nefasto. La acusación publicada por el Departamento de Justicia los acusa principalmente de fraude bancario y robo de identidad.

El nombre Scattered Spider se asoció notablemente con el pirateo de los casinos de MGM Resorts en Estados Unidos, que le costó a la empresa casi 100 millones de dólares. También se sospecha que el grupo o algunos de sus miembros han colaborado con BlackCat, una de las mayores bandas de ransomware de los últimos años. Scattered Spider habría desempeñado así el papel de afiliado, nombre dado a los cómplices encargados de infiltrarse en la red de una víctima para desplegar software malicioso que paraliza los ordenadores conectados.

Los cinco sospechosos procesados ​​actualmente por la justicia estadounidense, Ahmed Elbadawy, Noah Urban, Evans Osiebo, Joel Evans y Tyler Buchanan, tienen entre 20 y 25 años. Al menos tres de ellos fueron arrestados durante varias oleadas de detenciones. Buchanan, el único ciudadano británico en la lista de sospechosos (los otros cuatro son estadounidenses), fue arrestado en España en junio, mientras que Noah Urban, conocido bajo el seudónimo de “Sosa”, fue arrestado en enero. Un último sospechoso, Joel Evans, fue arrestado el martes 19 de noviembre por investigadores federales en Carolina del Norte. Sin embargo, no está claro si las cinco personas acusadas representan a todo el grupo.

Phishing, «intercambio de SIM» y vols de fonds

Desde 2022, las empresas de seguridad informática siguen de cerca las actividades del grupo. Un análisis de la empresa CrowdStrike determinó en su momento que los piratas informáticos se dirigieron principalmente a empresas de telecomunicaciones y empresas de subcontratación. Se infiltraron enviando mensajes de phishing (phishing) o haciéndose pasar por empleados por teléfono, siempre con el objetivo de obtener identificadores que les permitan acceder por primera vez a la red. Luego, el grupo consolidó su base, por ejemplo instalando software de acceso remoto en los ordenadores de la empresa.

Según la acusación, Joel Evans, de 25 años, de Jacksonville y conocido con el seudónimo joeleoli, está acusado de haber diseñado una herramienta para automatizar la transferencia de contraseñas robadas mediante campañas de phishing del grupo. Las credenciales ingresadas por las víctimas fueron luego enviadas a un canal de Telegram administrado por Scattered Spider. En 2022, un informe de la empresa Group IB estimó que cerca de 10.000 personas habrían visto sus identificadores robados por el grupo.

Una vez recuperados estos datos, uno de los principales objetivos de Scattered Spider es extraer fondos, a menudo en criptomonedas, de sus víctimas. Los investigadores calculan que los sospechosos lograron robar en total más de 11 millones de dólares a una treintena de personas identificadas. En 2021, los sospechosos habrían logrado robar más de seis millones de dólares en criptomonedas a una sola víctima. Para ello, el grupo utilizó la técnica de intercambio de SIMque implica reenviar la línea telefónica de una víctima para recibir sus mensajes de texto y llamadas, incluidos códigos de verificación que a veces se envían para restablecer una contraseña. Según los informes, en 2022, miembros del grupo lograron irrumpir en la infraestructura de Twilio, una empresa especializada en el envío de mensajes de texto y llamadas telefónicas.

Detrás de este grupo vago podría esconderse una comunidad más grande. Los investigadores sospechan así que Scattered Spider es una emanación de The Com, una vasta red de piratas de habla inglesa cuyo nivel de organización se desconoce y que podría contar, según recientes declaraciones del FBI, con cerca de mil miembros.