Scatered Spider lo ha vuelto a hacer. Esta vez la víctima ha sido el grupo Jaguar Land Rover.
Va
mos ya para más de un mes desde que los ciberdelincuentes entraron en los Sistemas del Grupo Jaguar Land Rover perjudicando la actividad de negocio de una manera exagerada, y según parece vamos hacia un MTTR (Time to Recover) de record.
Además, se añade la brecha de datos, que ya ha reconocido la entidad atacada, lo cual repercute directamente en su imagen de marca, elemento clave para su desarrollo de negocio dado que es una marca asociada al lujo.
Scattered Spider, un grupo delincuente muy conocido.
Ya hemos hablado en anteriores ocasiones de esta banda delictiva ya que su actividad este 2025 está siendo muy intensa. Todavía tenemos presente el ataque contra la cadena de retail Mark & Spencer, por ejemplo. Scatter Spider, tiene diversos métodos de ingeniería social como punto de inicio en sus ataques. En esta ocasión han aprovechado una vulnerabilidad en SAP NetWeaver, que facilita las integraciones de SAP con los procesos y sistemas de cada empresa.
A falta de conocer detalles exactos, lo que es seguro es que ha sido mediante el movimiento dentro del Directorio Activo que han podido encontrar ese usuario clave que les ha permitido culminar el ataque.
Días festivos, fines de semana o noches, son ideales para los ciberdelincuentes. Creen que su actividad no será observada. Estos momentos son ideales para la modificación en las directivas del AD, grupos de seguridad o cuentas de usuario, si no se quiere ser detectado.
Cómo monitorizar la actividad de los usuarios en el Directorio Activo fuera de las horas de oficina.
A continuación te mostramos los pasos para activar la monitorización de los usuarios en el horario “fuera de oficina” .
-
Define cuál es el horario “fuera de oficina” en tu empresa.
No tiene porqué ser el horario comercial, ni tampoco el horario oficial de trabajo.
- Activa la auditoria del Directorio Activo.
De este modo asegurarás que toda actividad como: nuevas cuentas, cambios de contraseñas, o cambios en grupos de trabajo, etc; quede grabado en el Security Event Log de tu Controlador de Dominio. Esto te dará la Información que necesitas ante cualquier cambio.
Para comenzar activa las políticas de auditoría del Group Policy. (Advanced Audit Policy Configuration > Computer Configuration > Policies > Windows Settings > Security Settings)
Asegura que esté activas estas opciones: Audit Account Management, Audit Directory Service Changes, and Audit Logon Events.
- Seguimiento y filtrado de ID de eventos clave.
Después de activar la auditoría de Active Directory, comenzarás a tener registros de eventos que muestran los cambios en Directorio Activo. Pero no todos los eventos deben absorber el foco. Enfócate en eventos clave como con estos Event IDs: 4723 y 4724 para cambios de contraseñas, 4720 para nuevas Cuentas de usuario, 4625 para logins fallidos, 4740 para cuentas bloqueadas, 4738 para modificaciones en usuarios, 4732 y 4733 para cambios en grupos: altas, bajas, etc…, and 5136 para cambios de objetos de directorio. Use un sistema SIEM, el Visor de eventos de Windows o scripts de PowerShell para filtrar estos registros por tiempo, usuario y tipo de acción para ordenarlos y examinarlos. Esto ayuda a identificar eventos que tienen lugar durante las horas cruciales de menor actividad y, al vigilar estos ID de eventos, se obtiene información importante sobre el comportamiento del usuario.
- Utiliza scripts o reglas SIEM para detectar actividad fuera del horario laboral.
Configura la automatización para identificar cuándo ocurren estos eventos clave fuera del horario laboral normal. Una manera sencilla es crear scripts de PowerShell que busquen en el registro de eventos de seguridad y filtren los resultados. Por ejemplo, busca eventos que ocurren los fines de semana o fuera del horario de oficina definido. O bien, usa las reglas SIEM para identificar la actividad fuera del horario laboral, los puntos de acceso extraños y la actividad extraña de archivos o sistemas. Al hacer esto, te aseguras de no perderte cambios “extraños” y poder actuar rápidamente, incluso sin que haya una revisión activa de los procesos.
- Automatización de “detección y alerta”.
Las herramientas integradas proporcionan una auditoria básica, existen en el mercado soluciones como Lepide Data Security Platform que ofrecen una monitorización completa y personalizable. Este tipo de herramientas envían alertas en tiempo real. Disponen de plantillas y filtros que permiten identificar los movimientos-tipo que realizan los ciberdelincuentes. Además estas herramientas de auditoría permiten, tras el aviso al equipo de seguridad, desencadenan procesos de respuesta ante incidentes. Desde una notificación concreta a una persona concreta o el bloqueo del usuario o máquina origen de la anomalía. Toda esta automatización reduce el tiempo de identificación (MTTD) y resolución del incidente.
- Revisión y ajuste periódico.
Es necesario verificar y ajustar el plan de alertas con regularidad. Primero, revisa los logs y alertas recogidas ¿Hay muchas falsas alarmas? ¿se registran como alertas las tareas administrativas sin motivo? Revisa y consolida con el equipo cuales son las alertas críticas y qué umbrales deberían ser ajustados. Regístralo en tu estrategia de Ciberseguridad (DSPM). Un sistema de monitorización actualizado es más confiable y útil.
Conclusion.
El Directorio Activo es el objetivo principal para los atacantes. Donde la identidad digital de los usuarios se define: creación, permisos, pertenencia a grupos, bajas. Según el informe realizado por Lepide State of Active Directory Security alrededor del 25% de las empresas consultadas aseguran haber identificado un comportamiento anómalo fuera del horario laboral, que con frecuencia está relacionado con amenazas internas o credenciales comprometidas.
Cambios en el Directorio Activo fuera de horario de oficina, pueden ser la pista inicial de un problema más serio. Puedes identificar y prevenir estas situaciones mediante una observación continua de los cambios, especialmente fuera del horario de oficina.
Cómo ayuda Lepide en la auditoría de tu Directorio Activo.
Lepide Auditor para Directorio Activo, tiene como finalidad entre otras funcionalidades identificar y notificar ante comportamiento anómalo de los usuarios, especialmente cuando tiene lugar fuera del horario habitual de oficina. Monitoriza continuamente el comportamiento de los usuarios, cambios en los grupos, modificaciones de permisos, y creación de nuevas cuentas. El contexto que proporciona sobre quien, hizo qué, desde donde y cuando es más significativo.
Según el estudio State of Active Directory Security, la falta de visibilidad es la clave que utilizan los atacantes accesos fuera del horario de oficina, cuentas inactivas, exceso de privilegios; para evitar la detección por parte de los equipos de seguridad. Sin embargo, puedes mitigar esta situación con una monitorización continua y una estrategia de respuesta acorde. ¿Hablamos de ciberseguridad?