Scattered Spider se expande más allá del Reino Unido y apunta a empresas estadounidenses.
Google advierte que el Reino Unido ya no es el único objetivo.
Google ha alertado a los minoristas de Estados Unidos sobre un resurgimiento de la actividad de Scattered Spider, un colectivo de ransomware que ha ampliado su enfoque de ataque, dirigiéndose no solo a empresas del Reino Unido, sino también a varias firmas estadounidenses. John Hultquist, analista jefe del grupo de inteligencia de amenazas de Google, indicó que el sector minorista en EE. UU. debe estar atento, ya que se han reportado operaciones de ransomware y extorsión que parecen estar relacionadas con este grupo, también conocido como UNC3944.
Según Hultquist, Scattered Spider ha regresado tras un prolongado periodo de inactividad y se ha propuesto atacar diversas organizaciones. A diferencia de grupos más organizados como LockBit o Cl0p, Scattered Spider tiene una estructura más laxa y operan en el contexto de una comunidad más amplia de hackers conocida como “the Com”. Sus miembros participan en una variedad de tipos de ataques, que incluyen ingeniería social, intercambio de tarjetas SIM y ransomware, con un enfoque particular en instituciones financieras, empresas tecnológicas y organizaciones de entretenimiento y apuestas.
Los peligros de este grupo han sido evidentes en 2025, cuando algunos de sus objetivos incluyeron destacadas empresas como Chick-fil-A, Forbes, Instacart, New York Digital Investment Group, News Corporation, Nike, Twitter/X, Tinder, T-Mobile y Vodafone. Entre los minoristas que han sido objeto de ataques este año, destacan Marks & Spencer, Co-op y Harrods, donde los atacantes han utilizado DragonForce, una operación de ransomware que emergió en diciembre de 2023 y ha ganando notoriedad desde entonces.
En abril de 2025, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) emitió nuevas directrices para ayudar a las empresas británicas a defenderse mejor de Scattered Spider. La entidad instó al sector minorista a “despertar” y reforzar sus medidas de seguridad. Sin embargo, el NCSC también advirtió que, aunque tienen información sobre los ataques, no están en condiciones de confirmar si estos eventos están interconectados, si se trata de una campaña coordinada de un único actor o si no hay vínculo entre ellos. “Estamos trabajando con las víctimas y con las fuerzas del orden para determinar esto”, concluyeron.
