Cómo Scattered Spider usó llamadas falsas para robar Clorox a través de Cognizant

El gigante de productos de limpieza Clorox demandó a su socio de servicios de TI, Cognizant, alegando que un devastador ataque de ransomware de agosto de 2023 que paralizó la producción y le costó a la compañía $ 380 millones en ingresos perdidos se debió a la negligencia de la empresa.

En una demanda ante el Tribunal Superior de California, Clorox alega que hackers vinculados al grupo Scattered Spider simplemente obtuvieron credenciales al llamar al servicio de atención al cliente de Cognizant para restablecer su contraseña. Clorox alega además que Cognizant falló en su respuesta, prolongando el tiempo de recuperación.

Ahora, Specops Software, una empresa de análisis de seguridad, publicó un análisis detallado de este incidente, revelando con precisión cómo se desarrolló este sencillo ataque a la mesa de servicio y ofreciendo lecciones críticas para las organizaciones.

Según su investigación , compartida con Hackread.com, el incidente comenzó el 11 de agosto de 2023. Los atacantes, haciéndose pasar por empleados legítimos, realizaron múltiples llamadas al servicio de atención al cliente de Cognizant. Su objetivo: obtener contraseñas y restablecer la autenticación multifactor ( MFA ) de los empleados bloqueados.

A pesar de los claros procedimientos de Clorox, el agente del servicio de atención al cliente supuestamente eludió estos protocolos, al no verificar la identidad de la persona que llamó ni proporcionar nuevas credenciales. Para agravar el descuido, no se enviaron correos electrónicos de alerta al empleado suplantado ni a su gerente, una notificación básica que podría haber alertado al equipo de seguridad de Clorox.

Los hackers repitieron esta táctica y obtuvieron acceso a una segunda cuenta perteneciente a un empleado de seguridad informática. Esto elevó instantáneamente su acceso a privilegios de administrador de dominio , lo que les otorgó acceso sin restricciones al entorno principal de Active Directory de Clorox, que controla el acceso de los usuarios en toda la red.

Con credenciales de alto nivel, los intrusos desactivaron rápidamente los controles de seguridad, aumentaron sus privilegios e implementaron ransomware en servidores clave. Esto encriptó datos silenciosamente, cortando vínculos vitales entre los sistemas de fabricación, distribución y TI. Las líneas de producción se detuvieron y el procesamiento de pedidos cesó. Clorox reportó $49 millones en gastos directos de remediación y la asombrosa cifra de $380 millones en pérdidas de ingresos.

El riesgo de externalizar funciones críticas de soporte de TI, si bien ofrece ahorros, puede generar vulnerabilidades. Cabe destacar que el minorista británico Marks & Spencer sufrió un incidente similar: Scattered Spider engañó al personal de su proveedor de soporte técnico de TI, Tata Consultancy Services (TCS), para que restablecieran sus credenciales privilegiadas y, además, obtuvieran acceso a Active Directory.

Este incidente pone de relieve la amenaza constante que representa Scattered Spider (también conocido como 0ktapus, UNC3944). Como informó Hackread.com, este grupo ha estado involucrado en numerosas infracciones de seguridad de alto perfil, incluyendo las de MGM Resorts y otros importantes minoristas .

Su persistente explotación de los servicios de asistencia técnica para atacar entornos VMware vSphere y desplegar ransomware directamente desde el hipervisor hasta el incidente de Clorox muestra que las vulnerabilidades humanas simples, si no se abordan, pueden provocar una devastación financiera y operativa monumental.

Para mitigar estos riesgos, las organizaciones deben implementar Acuerdos de Nivel de Servicio (ANS) estrictos con los contratistas, realizar simulacros de ataques periódicos en los procesos subcontratados y exigir informes transparentes y en tiempo real sobre las actividades de alto riesgo. Es fundamental restringir los permisos del servicio de asistencia para evitar que los agentes restablezcan cuentas de administrador o con privilegios de TI sin flujos de trabajo de aprobación secundarios.