Scattered Spider intensifica ataques com engenharia social

17/12/2025 mindsecblog Notícias 0

Scattered Spider intensifica ataques com engenharia social e expõe vulnerabilidades na gestão de identidade das empresas

COO da Under Protection explica dinâmica dos incidentes, casos recentes e medidas essenciais para reduzir riscos em operações digitais

Relatórios internacionais de cibersegurança mostram crescimento expressivo das ações atribuídas ao Scattered Spider, grupo também identificado como Octo Tempest ou UNC3944 responsável por parte relevante dos incidentes de extorsão, comprometimento de identidade e sequestro de ambiente registrados entre 2023 e 2025. 

Levantamentos de empresas como CrowdStrike e Mandiant descrevem o coletivo como um dos mais agressivos do período, especialmente pela capacidade de violar sistemas sem recorrer a malwares inéditos, explorando engenharia social e falhas processuais. O relatório Data Breach Investigations Report 2024, da Verizon, indica que o ransomware esteve presente em 32% de todas as violações globais analisadas. O dado evidencia o peso das técnicas que combinam extorsão, comprometimento de identidade e acesso inicial obtido por manipulação de usuários, que formam o núcleo do modo de atuação do Scattered Spider.

Para Igor Moura, COO da Under Protection, empresa  especializada em cibersegurança, o que diferencia o Scattered Spider de outros atores financeiros é o uso de técnicas humanas altamente refinadas. “Eles se especializaram em fazer alguém acreditar que a solicitação é legítima. O ataque não começa com um código, começa com uma conversa. Quando o processo de help desk é frágil, a organização perde o controle de sua própria identidade digital”, afirma. 

O executivo explica que o grupo foca setores com grande dependência de SaaS, acesso remoto e terceirização de suporte, repetindo um padrão que já atingiu companhias de varejo, aviação, telecom e saúde.

Casos recentes reforçam o padrão global

Incidentes divulgados desde 2022 seguem uma lógica semelhante: ligações para centrais de suporte pedindo resets de senha ou alteração de métodos de MFA, e-mails que replicam páginas de login corporativas e SMS com links de captura de credenciais. Empresas de telecomunicações relataram comprometimentos administrativos após operadores concederem acesso acreditando falar com gestores internos. Em 2024, casos envolvendo empresas aéreas nos Estados Unidos geraram atrasos operacionais depois que criminosos obtiveram privilégios elevados em consoles de administração. Organizações hospitalares na Europa também confirmaram ataques seguidos de extorsão e ameaça de vazamento de dados sensíveis.

O que chama atenção é o uso de ferramentas legítimas como AnyDesk, ScreenConnect, TeamViewer e Teleport para manter acesso contínuo à rede, muitas vezes sem disparar alertas imediatos nos sistemas internos. Essa estratégia se complementa com exfiltração silenciosa de documentos, e-mails e bases de clientes, seguida por pressão financeira.

Como operam

Moura explica que os ataques começam com coleta detalhada de informações públicas, especialmente em redes como LinkedIn. O grupo identifica funcionários de TI, colaboradores recém-contratados e equipes de suporte. Em seguida, inicia tentativas de manipulação via telefone, e-mail ou SMS, simulando protocolos reais. “Quando conseguem validar um reset de senha ou cadastrar um novo método de autenticador, o criminoso passa a ser, tecnicamente, um usuário legítimo. A partir daí, avança para VPN, sistemas de gestão, ambientes de cloud e plataformas críticas”, diz.

Após obter acesso, o grupo instala ferramentas de acesso remoto, eleva privilégios, acessa ambientes de virtualização e tenta atingir backups, ponto decisivo para maximizar impacto. Em grande parte dos casos citados por órgãos internacionais, a etapa final envolve extorsão, com ameaça de divulgar dados ou interromper operações.

Quem está no alvo

Empresas com operação distribuída, alto volume de terceirizados e grande dependência de identidade digital são as mais vulneráveis. Setores como varejo, serviços financeiros, logística, telecom e saúde aparecem de forma recorrente em alertas globais. Moura destaca que indivíduos também são afetados por golpes paralelos envolvendo recuperação fraudulenta de contas e acesso indevido a ambientes de trabalho remoto. “O vetor é humano, não técnico. Quando alguém confia na urgência ou na narrativa do atacante, a porta está aberta”, analisa.

Dicas de proteção imediata

Moura aponta quatro medidas que devem ser priorizadas para conter o risco:

  1. Reforço de identidade e autenticação
    Implementar MFA resistente a phishing (FIDO2/WebAuthn) em contas privilegiadas.
    Revisar continuamente mudanças de MFA, novos dispositivos e criação de administradores.
    Reduzir uso de SMS e chamadas de voz para autenticação em perfis críticos.
  2. Controle estrito de ferramentas de acesso remoto
    Inventariar e permitir apenas RMMs autorizados.
    Bloquear a execução inesperada de ferramentas como AnyDesk e ScreenConnect em servidores e controladores de domínio.
  3. Blindagem de ambientes críticos
    Segregar redes administrativas e exigir jump hosts com MFA forte.
    Garantir backups imutáveis e auditoria completa de exclusões e restaurações.
  4. Revisão profunda de processos de help desk
    Criar validação fora de banda para resets de senha e alterações de MFA.
    Exigir confirmação com gestores em solicitações sensíveis.
    Eliminar aprovações baseadas em urgência ou pressão.

Para Moura, o ponto central é compreender que a ameaça deixou de ser exclusivamente técnica. “As empresas investem milhões em tecnologia e perdem a guerra em uma ligação. Segurança não é apenas software é processo, identidade e comportamento. O Scattered Spider prova isso diariamente”, conclui.

 

Por: Igor Moura é sócio fundador da Under Protection

 

Clique e fale com representante oficial Netwrix

Veja também

About mindsecblog 3412 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Avanço de ciberataques requerem medidas urgentes de proteção

21/02/2025 mindsecblog Notícias 0

Avanço de ciberataques requerem medidas urgentes de proteção. Ataques digitais cresceram 95% no terceiro trimestre de 2024 no país e leva empresas a adotarem medidas urgentes de proteção, segundo a Check Point Research.  Em um […]

Notícias

Controlando incidentes cibernéticos na área da saúde

02/05/2025 mindsecblog Notícias 0

Controlando incidentes cibernéticos na área da saúde Organizações brasileiras da área da Saúde se tornaram um alvo atraente aos cibercriminosos. Como exemplo, o ataque ao Instituto Nacional do Câncer (Inca) ano passado o qual fez […]

Notícias

Malware Lumma Infostealer

21/07/2025 mindsecblog Notícias 0

Check Point Software identifica continuidade das operações do malware Lumma Infostealer Operação liderada por Europol, FBI e Microsoft causou impacto significativo na infraestrutura do Lumma, mas dados roubados seguem sendo comercializados online A Check Point […]

Be the first to comment

Deixe sua opinião!