As ameaças cibernéticas evoluem em ritmo acelerado, exigindo das empresas uma vigilância constante e estratégias de defesa robustas. Um alerta recente do Google Threat Intelligence Group (GTIG) revelou uma ofensiva preocupante: o grupo cibercriminoso Scattered Spider (também conhecido como UNC3944) está mirando seguradoras nos Estados Unidos, usando táticas avançadas de engenharia social para burlar defesas corporativas.
Google alerta: Ataques do Scattered Spider miram equipes de suporte de TI em seguradoras
Este artigo detalha as ações do Scattered Spider, as técnicas furtivas empregadas contra help desks e call centers, o foco estratégico no setor de seguros, e sua colaboração com cartéis de ransomware. Também traremos orientações práticas de mitigação, fundamentais para que empresas e profissionais de segurança se preparem diante desse novo cenário.
Entender o modus operandi de grupos como o Scattered Spider é essencial para fortalecer as defesas contra ataques de engenharia social, cada vez mais convincentes e devastadores.
As táticas furtivas do Scattered Spider: Engenharia social em foco
O Scattered Spider é notório por seu domínio de táticas de engenharia social sofisticadas, que se tornaram sua principal arma contra grandes corporações. Diferente de grupos que exploram falhas técnicas, o Scattered Spider explora falhas humanas — e o faz com impressionante eficácia.
O alvo preferencial são equipes de suporte de TI, especialmente aquelas que operam help desks ou call centers terceirizados. Os atacantes se passam por funcionários legítimos, muitas vezes alegando situações de emergência, como problemas de acesso a contas corporativas ou substituições de dispositivo.
Como o grupo contorna a autenticação multifator (MFA)
Mesmo com autenticação multifator (MFA) implementada, o grupo consegue enganar operadores de suporte ao solicitar reset de senhas, mudanças de métodos de autenticação ou inclusão de novos dispositivos. Por meio de ligações convincentes e informações internas previamente obtidas, conseguem burlar esse controle essencial.
Essa técnica, conhecida como “MFA push fatigue” ou “MFA bypass via social engineering”, tem sido eficaz inclusive contra empresas com controles rígidos. O sucesso da operação depende da habilidade dos atacantes em manipular emoções — urgência, medo ou empatia — para levar os atendentes a cometerem erros críticos.
O perfil dos atacantes: Fluência cultural e discrição
Um dos fatores que distingue o Scattered Spider é a fluência nativa em inglês de seus membros. Isso lhes permite adotar dialetos regionais, jargões corporativos e até mesmo simular sotaques específicos. A familiaridade com a cultura de TI corporativa norte-americana torna os ataques altamente convincentes.
Além disso, o grupo atua com discrição e precisão cirúrgica, selecionando cuidadosamente os alvos, estudando a estrutura organizacional das empresas e agindo de forma coordenada para escalar privilégios sem disparar alertas imediatos.
O novo alvo: Setor de seguros sob ataque e a evolução das parcerias criminosas
O alerta do GTIG destaca que o Scattered Spider está, neste momento, concentrando seus ataques em empresas do setor de seguros nos EUA. Essa focalização estratégica é característica do grupo, que costuma agir em ondas direcionadas a setores específicos.
As seguradoras armazenam volumes massivos de dados pessoais e financeiros, o que as torna alvos lucrativos para extorsão e revenda de dados.
A aliança perigosa: Scattered Spider e DragonForce/RansomHub
Um desenvolvimento ainda mais alarmante é a parceria entre o Scattered Spider e cartéis de ransomware como o DragonForce e o RansomHub. Essas alianças permitem que, após o acesso inicial, os grupos de ransomware sejam acionados para criptografar sistemas e exigir resgates vultosos.
Essa colaboração transforma o Scattered Spider em um vetor inicial, facilitando a entrada de parceiros especializados em extorsão e destruição de dados, ampliando o impacto do ataque.
Mirando MSPs e terceirizados: O acesso a múltiplos clientes
Outra estratégia do grupo é atacar provedores de serviços gerenciados (MSPs) e terceirizados de TI, que atendem múltiplas empresas. Ao comprometer um MSP, o Scattered Spider obtém acesso a vários ambientes corporativos simultaneamente, maximizando seu alcance com um único ponto de entrada.
Essa abordagem multiplica os danos e desafia as equipes de segurança, que muitas vezes não conseguem identificar o ponto de comprometimento original, dada a complexidade da cadeia de fornecimento de TI.
Protegendo-se contra o Scattered Spider: Medidas de mitigação essenciais
Diante da sofisticação crescente dos Scattered Spider ataques, a adoção de medidas proativas de segurança é imperativa. A seguir, listamos recomendações estratégicas que podem reduzir significativamente os riscos.
Fortalecendo a autenticação e os controles de identidade
Empresas devem ir além da MFA tradicional e adotar soluções resistentes a phishing, como chaves de segurança físicas (FIDO2) ou biometria avançada. Além disso, é fundamental restringir mudanças de autenticação a processos com múltiplas camadas de verificação e aprovação.
O uso de sistemas de gestão de identidade (IAM) com privilégios mínimos e segregação de funções também ajuda a limitar o impacto caso um acesso indevido ocorra.
Treinamento e conscientização da equipe de help desk
Help desks precisam de treinamentos específicos voltados para engenharia social e simulações de ataques. Os atendentes devem ser instruídos a:
- Verificar a identidade do solicitante com múltiplos fatores;
- Recusar solicitações incomuns fora do protocolo;
- Reportar imediatamente qualquer tentativa suspeita.
Programas de conscientização contínuos, com atualizações baseadas em cenários reais, são cruciais para manter o pessoal preparado.
Restrições de acesso e segmentação de rede
A implementação de redes segmentadas e controles de acesso granular (como zero trust) reduz as chances de movimentação lateral após um acesso inicial. Além disso, monitorar comportamentos anômalos e utilizar ferramentas de detecção de ameaças (EDR/XDR) aumenta as chances de identificar intrusões rapidamente.
Conclusão: Preparação é a melhor defesa
O Scattered Spider representa uma ameaça real, ativa e altamente perigosa, especialmente para empresas com estruturas de suporte de TI descentralizadas. Seu uso de engenharia social sofisticada e a aliança com grupos de ransomware evidenciam a urgência de medidas de defesa integradas, que combinem tecnologia, processos e capacitação humana.
Sua empresa está preparada para enfrentar ataques que exploram a confiança e a distração humana como principal vetor? Investir hoje em defesa, prevenção e resposta é essencial para proteger dados, reputação e continuidade operacional.
