São Paulo — InkDesign News — O grupo de ameaças cibernéticas Scattered Spider continua a realizar ataques de alto impacto utilizando técnicas avançadas de engenharia social e ransomwares variados, apesar de múltiplas operações globais de aplicação da lei.
Vetor de ataque
O Scattered Spider, ativo desde 2022, destaca-se pelo uso intensivo de esquemas de engenharia social, como phishing, SIM swapping e ataques de multifator de autenticação (MFA bombing), para roubo de credenciais e acesso privilegiado a sistemas corporativos. Suas incursões recentes envolveram o uso de ransomwares como ALPHV/BlackCat, RansomHub e DragonForce. Este último emprega um modelo de afiliados distribuídos, permitindo que hackers utilizem diversas ferramentas e infraestrutura para ataques de ransomware ou extorsão de dados, contando ainda com técnicas de evasão para burlar sistemas de detecção e resposta em endpoints (EDR).
Impacto e resposta
O grupo foi responsável por ataques notórios em grandes empresas, como os cassinos Caesars Entertainment e MGM Resorts em 2023 e recentemente o varejista britânico Marks & Spencer. Apesar da prisão de membros-chave, incluindo o suposto líder Tyler Buchanan e Noah Michael Urban, a ação policial não resultou em impacto duradouro sobre a atividade do grupo. A dissidência e a estrutura não hierárquica do grupo dificultam o desmantelamento completo das operações.
“Scattered Spider é uma coleção dispersa de indivíduos em vez de um grupo criminoso tradicional hierárquico, o que significa que ‘cortar a cabeça da cobra’ e prender membros seniores não tem necessariamente um efeito cascata no restante do grupo, como ocorreria em grupos mais estruturados.”
(“Scattered Spider are a disparate collection of individuals rather than a traditional hierarchical crime group, meaning that ‘cutting the head off the snake’ and taking down senior members doesn’t necessarily have a trickle-down effect on the rest of the group as it would in more structured groups.”)— Aiden Sinnott, Pesquisador de Segurança, Secureworks
Análise e recomendações
Especialistas recomendam que empresas fortaleçam suas defesas adotando MFA não baseado em SMS, dado o uso frequente de MFA bombing pelo grupo. Além disso, a identificação e bloqueio de domínios relacionados à atividade do Scattered Spider são indicados, embora complicados pela utilização do grupo de serviços DNS dinâmicos que permitem registro de subdomínios em domínios centrais. A cooperação internacional e a análise forense de dispositivos apreendidos poderão aumentar a eficácia das ações legais.
“A vantagem, porém, é que este grupo é predominantemente baseado no Reino Unido e nos EUA e fala inglês, o que provavelmente proporcionará mais oportunidades para ações policiais e desenvolvimento de inteligência a partir da análise forense de dispositivos apreendidos e cooperação de indivíduos presos.”
(“The advantage, however, is that this group are predominantly UK/US-based and English-speaking, meaning there will likely be more opportunities for law enforcement action and intelligence development from forensic analysis of seized devices and potential cooperation of any arrested individuals.”)— Aiden Sinnott, Pesquisador de Segurança, Secureworks
O cenário revela que o grupo Scattered Spider permanece resiliente e adaptável, desafiando as estratégias tradicionais de combate a ransomware e golpes de engenharia social. Espera-se que avanços em inteligência cibernética e colaboração entre agências possam mitigar, a médio prazo, o impacto das operações do grupo.
Fonte: (Dark Reading – Segurança Cibernética)
