Um grupo de jovens cibercriminosos representa a 'ameaça mais iminente' de ataques cibernéticos no momento

Prateleiras vazias de supermercados e aviões parados tendem a sinalizar uma crise, seja um evento climático extremo , uma crise de saúde pública ou uma emergência geopolítica . Mas essas cenas de caos das últimas semanas no Reino Unido, Estados Unidos e Canadá foram causadas por ataques cibernéticos com motivação financeira — aparentemente perpetrados por um coletivo de adolescentes passeando.

Um notório grupo de cibercriminosos, frequentemente chamado de Scattered Spider, é conhecido por usar técnicas de engenharia social para se infiltrar em empresas-alvo, enganando funcionários de help desk de TI para que lhes concedam acesso ao sistema. Pesquisadores afirmam que o grupo parece adquirir conhecimento sobre os sistemas de back-end comumente usados ​​por empresas de um determinado setor e, em seguida, usa esse conhecimento para atingir um conjunto de alvos antes de avançar para outro setor. O grupo frequentemente implementa ransomware ou realiza ataques de extorsão de dados depois de comprometer suas vítimas.

Em meio à crescente pressão policial no ano passado, que culminou em acusações e prisões de cinco suspeitos supostamente ligados ao Scattered Spider, pesquisadores afirmam que o grupo estava menos ativo em 2024 e parecia estar tentando se manter discreto. Os ataques crescentes do grupo nas últimas semanas, no entanto, mostraram que, longe de ser derrotado, o Scattered Spider está novamente fortalecido.

“Existem alguns agentes com habilidades únicas no Scattered Spider quando se trata de engenharia social, e eles identificaram uma grande lacuna em nossos sistemas de segurança, da qual estão se aproveitando com sucesso”, afirma John Hultquist, analista-chefe do grupo de inteligência de ameaças do Google. “Este grupo está realizando ataques sérios à nossa infraestrutura crítica, e espero que não estejamos perdendo a oportunidade de lidar com a ameaça mais iminente.”

Embora vários incidentes não tenham sido atribuídos publicamente, uma onda avassaladora de ataques recentes a redes de supermercados do Reino Unido, seguradoras norte-americanas e companhias aéreas internacionais tem sido amplamente ligada ao Scattered Spider. Em maio, a Agência Nacional de Crimes do Reino Unido confirmou que estava investigando o Scattered Spider em conexão com os ataques a varejistas britânicos. E o FBI alertou em um alerta na sexta-feira que observou "o grupo cibercriminoso Scattered Spider expandindo sua segmentação para incluir o setor aéreo". O alerta veio quando as companhias aéreas norte-americanas Westjet e Hawaii Airlines disseram que foram vítimas de ataques cibernéticos. Na quarta-feira, a companhia aérea australiana Qantas também disse que foi atingida por um ataque cibernético, embora não tenha ficado imediatamente claro se esse ataque fazia parte da campanha do grupo.

“Eles desaceleraram e vimos que se dissiparam por um tempo ao longo de 2024”, diz Adam Meyers, vice-presidente sênior de operações contra adversários da empresa de segurança CrowdStrike. “Depois, voltaram com tudo nos últimos meses, atingindo primeiro o varejo, depois as seguradoras e, mais recentemente, as companhias aéreas.”

O Scattered Spider surgiu como um grupo de alto perfil no final de 2023, quando seus membros migraram de ataques de troca de SIM para o lançamento de ataques de ransomware devastadores contra a Caesar's Entertainment e a MGM Resorts . A recuperação deste último custou à MGM cerca de US$ 100 milhões . Pesquisadores enfatizam que o coletivo tem motivação financeira, sendo composto principalmente por adolescentes e jovens falantes de inglês, frequentemente residentes nos EUA ou no Reino Unido. Os hackers do Scattered Spider são considerados um desdobramento do Com , uma rede amorfa de potencialmente milhares de trolls e criminosos, muitos dos quais se envolvem em assédio, extorsão e exploração infantil.

Membros dispersos do Scattered Spider têm se unido cada vez mais em torno de uma tática de uso de engenharia social direcionada para se infiltrar nas redes corporativas. Os invasores podem se passar por um funcionário que está bloqueado de sua conta de e-mail corporativa e entrar em contato com o suporte de TI da empresa para obter acesso, antes de redefinir as credenciais de autenticação multifator . Pesquisadores afirmam que o grupo também utilizou uma tática de criação de sites de phishing convincentes, onde as URLs frequentemente incluem o nome da organização-alvo juntamente com palavras como "okta", "vpn" ou "helpdesk". Uma vez dentro das redes, os hackers implantam vários tipos de ransomware ou roubam dados que são usados ​​para extorquir empresas.

Meyers afirma que a Crowdstrike acredita que o Scattered Spider tenha aproximadamente quatro membros principais, que direcionam a segmentação de vítimas em potencial e "alavancam" recursos do ecossistema Com mais amplo, conforme necessário. A estrutura e o tamanho exatos do Scattered Spider não são claros, mas os pesquisadores concordam que o grupo depende de uma série de serviços de terceiros para realizar seus ataques.

“A dissuasão é extremamente difícil porque estamos essencialmente lutando contra um mercado em que muitos agentes são substituíveis”, diz Hultquist, do Google. “Por exemplo, o Scattered Spider já trabalhou com vários serviços de ransomware, então, se um deles cair, sempre há alguém para substituí-lo.”

Aiden Sinnott, pesquisador sênior de ameaças da Unidade de Contra-Ameaças da empresa de segurança cibernética Sophos, afirma que o Scattered Spider e o Com, de forma mais ampla, estão conectados por meio de relacionamentos e comunidades em servidores do Discord ou grupos do Telegram. "É esse tipo de grupo em evolução, onde talvez novos agentes de ameaças mais jovens estejam surgindo", diz Sinnott. "É possível observar essa progressão natural à medida que eles aprendem habilidades uns com os outros, e também demonstram grande interesse em compartilhar suas vitórias."

Alguns membros do Scattered Spider podem ter como alvo empresas de renome, enquanto outros estão envolvidos em atividades menos conhecidas. "Existem grupos, ou indivíduos, que estão realmente focados em hackear contas da Coinbase e roubar criptomoedas e coisas do tipo", diz Sinnott. "Então, eles nem sequer estão focados nessas grandes organizações corporativas."

Como diz Hultquist, "a atividade é extremamente resiliente, porque em vez de lutar contra um único ator, estamos realmente lutando contra um mercado".