Los hackers ahora atacan a minoristas estadounidenses tras los ataques en el Reino Unido y a Google

Los piratas informáticos del grupo Scattered Spider, conocido por sus ataques al comercio minorista en el Reino Unido, ahora apuntan a los minoristas estadounidenses, advirtieron los expertos en ciberseguridad de Google.

El conocido grupo cibercriminal Scattered Spider ahora ataca activamente a empresas minoristas en los Estados Unidos, luego de una serie de ataques disruptivos contra empresas similares en el Reino Unido.

Esta advertencia proviene directamente de los expertos en ciberseguridad de Google Threat Intelligence Group (GTIG) y de la filial de Google, Mandiant , quienes destacan la eficacia del grupo para eludir incluso las medidas de seguridad más fuertes.

“El sector minorista de EE. UU. está siendo actualmente blanco de operaciones de ransomware y extorsión que sospechamos están vinculadas a UNC3944, también conocido como Scattered Spider”, afirmó John Hultquist, analista de ciberseguridad de Google.

Cabe destacar que Scattered Spider (también conocido como UNC3944) es el principal sospechoso de los recientes ataques a los gigantes de la cadena de tiendas británica Harrods, Co-op y M&S. Sin embargo, el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido, Mandiant y Google aún no los han atribuido formalmente a ningún actor específico. No obstante, los investigadores de GTIG sugieren que los hackers que atacan a minoristas estadounidenses comparten técnicas y procedimientos similares a los responsables de los incidentes británicos.

Los investigadores observaron un posible vínculo entre los operadores del ransomware DragonForce y Scattered Spider. El primero se atribuyó la responsabilidad de intentos de ataque recientes contra varios minoristas del Reino Unido, utilizando tácticas similares a las de Scattered Spider. Además, ambos estaban asociados con la plataforma RaaS, ahora desaparecida, RansomHub.

Sin embargo, GTIG no pudo confirmar la relación entre UNC3944/DragonForce y el aumento de las filtraciones de datos minoristas. Aun así, la creciente presencia de víctimas minoristas en sitios de filtración de datos (11 % en 2025, en comparación con años anteriores) sugiere que los cibercriminales encuentran atractivo este sector debido a la gran cantidad de información personal identificable (PII) y datos financieros, y a su disposición a pagar rescates para mantener el procesamiento de transacciones.

Según informes anteriores de Hackread.com, Scattered Spider es un actor de amenazas con motivaciones económicas conocido por usar técnicas de ingeniería social. Se hizo conocido por hackear a los gigantes de los casinos MGM Resorts International y Caesars Entertainment en 2023. Inicialmente, se dirigieron a empresas de telecomunicaciones para robar tarjetas SIM y posteriormente comenzaron a implementar ransomware para extorsionar a sus víctimas.

También son conocidos por intentos de phishing y bombardeos MFA , donde bombardean objetivos con solicitudes de autenticación multifactor. Normalmente, UNC3944 ataca a empresas consolidadas, especialmente a organizaciones con grandes centros de asistencia y departamentos de TI externalizados, ya que son más vulnerables a sus sofisticadas técnicas de ingeniería social.

El análisis de GTIG revela que, desde principios de 2023, UNC3944 se ha enfocado en una amplia gama de sectores, incluyendo tecnología, telecomunicaciones, servicios financieros, externalización de procesos de negocio (BPO), juegos, hostelería, comercio minorista y organizaciones de medios y entretenimiento. Geográficamente, sus principales objetivos han sido aún más diversos, incluyendo EE. UU., Canadá, Reino Unido, Australia, Singapur e India.

El ISAC de Comercio Minorista y Hostelería, un grupo de intercambio de información que incluye a importantes empresas como Albertsons, Costco, McDonald's y Lowe's, ha reconocido la amenaza y está trabajando con Google para proporcionar a sus miembros información detallada y orientación sobre cómo reforzar sus defensas contra esta amenaza en constante evolución. La advertencia de Google sirve como una clara señal para que los minoristas estadounidenses estén en alerta máxima y revisen sus protocolos de seguridad.

Chad Cragle , CISO de Deepwatch, una plataforma de ciberresiliencia basada en IA y seres humanos con sede en San Francisco, California:

Scattered Spider (UNC3944) utiliza ingeniería social sofisticada para infiltrarse y distribuir ransomware. Para defenderse de este grupo, proteja las cuentas privilegiadas, implemente una autenticación multifactor ( MFA) resistente al phishing y verifique cada solicitud de identidad al servicio de asistencia.

“ Los minoristas son particularmente vulnerables, ya que manejan grandes cantidades de datos de pago, gestionan cadenas de suministro complejas y operan bajo una presión considerable de disponibilidad que a menudo incita al pago de rescates ” , advirtió Chad. “ Sin embargo, las organizaciones con datos valiosos y necesidades críticas de disponibilidad también corren el mismo riesgo ” .