Vetor de ataque
Os ataques cibernéticos ocorreram na primavera de 2024 e são atribuídos ao grupo Scattered Spider, que utiliza táticas sofisticadas como phishing por voz, troca de SIM e bypass de autenticação de múltiplos fatores (MFA) via impersonificação de help desk. Os métodos utilizados nessas operações são similares aos que foram vistos em ataques anteriores contra empresas como MGM e Caesars.
Impacto e resposta
A National Crime Agency (NCA) do Reino Unido anunciou a prisão de dois homens de 19 anos, um homem de 17 anos e uma mulher de 20 anos, sob suspeita de crimes relacionados à Lei de Uso Indevido de Computadores, extorsão, lavagem de dinheiro e participação em atividades de uma organização criminosa. Durante a prisão, foram confiscados dispositivos eletrônicos pessoais para análise forense, e os indivíduos permanecem sob custódia.
“As prisões de hoje representam um passo significativo na investigação, mas nosso trabalho continua para garantir que os responsáveis sejam identificados e levados à justiça.”
(“Today’s arrests are a significant step in that investigation, but our work continues to ensure those responsible are identified and brought to justice.”)— Paul Foster, Vice-Diretor da NCA
Análise e recomendações
Pesquisadores de segurança sugerem que a conexão entre os detidos e o Scattered Spider, embora não comprovada, é plausível, dado o uso de técnicas e ferramentas semelhantes. O uso do ransomware DragonForce nos ataques à Marks & Spencer coincide com campanhas anteriores do grupo. Carlos Carmakal, CTO da Mandiant Consulting, afirma que a verdadeira natureza da Scattered Spider é desviar a atenção, mas as prisões recentes podem representar uma oportunidade crucial para as empresas fortalecerem suas defesas contra essa ameaça emergente.
Com as estratégias de engenharia social agressivas desse grupo, é vital que as organizações revejam suas práticas de segurança e implementem medidas robustas de mitigação. Espera-se que os impactos das prisões sejam evidentes em uma diminuição das atividades do coletivo, mas a vigilância contínua é essencial.
Fonte: (Dark Reading – Segurança Cibernética)
