Prateleiras de supermercados vazias e aviões parados tendem a sinalizar uma crise, seja um evento climático extremo, uma crise de saúde pública ou uma emergência geopolítica. Mas essas cenas de caos nas últimas semanas no Reino Unido, Estados Unidos e Canadá foram causadas, em vez disso, por ciberataques motivados financeiramente – aparentemente perpetrados por um coletivo de adolescentes.
Um notório grupo cibercriminoso frequentemente chamado de Scattered Spider é conhecido por usar técnicas de engenharia social para infiltrar empresas-alvo, enganando trabalhadores de suporte técnico a conceder-lhes acesso ao sistema. Pesquisadores dizem que o grupo parece adquirir expertise sobre os sistemas de backend comumente usados por empresas em um setor particular e, em seguida, usa esse conhecimento para atingir um cluster de alvos antes de passar para outro setor. O grupo frequentemente implanta ransomware ou conduz ataques de extorsão de dados uma vez que compromete suas vítimas.
Diante da crescente pressão das autoridades policiais no ano passado, que culminou em acusações e prisões de cinco suspeitos supostamente ligados ao Scattered Spider, pesquisadores afirmam que o grupo estava menos ativo em 2024 e parecia estar tentando se esconder. No entanto, os ataques crescentes nas últimas semanas mostraram que, longe de ser derrotado, o Scattered Spider está novamente encorajado.
“Existem alguns atores excepcionalmente habilidosos no Scattered Spider quando se trata de engenharia social, e eles identificaram uma lacuna importante em nossos sistemas de segurança que estão aproveitando com sucesso”, diz John Hultquist, analista chefe do grupo de inteligência de ameaças do Google. “Esse grupo está realizando ataques sérios em nossa infraestrutura crítica, e espero que não estejamos perdendo a oportunidade de abordar a ameaça mais imediata.”
Embora vários incidentes não tenham sido atribuídos publicamente, uma onda esmagadora de ataques recentes a redes de supermercados do Reino Unido, seguradoras norte-americanas e companhias aéreas internacionais tem sido amplamente ligada ao Scattered Spider. Em maio, a Agência Nacional de Crime do Reino Unido confirmou que estava investigando o Scattered Spider em relação aos ataques a varejistas britânicos. E o FBI alertou em um comunicado na sexta-feira que observou “o grupo cibercriminoso Scattered Spider expandindo seu alvo para incluir o setor de aviação.” O alerta surgiu quando as companhias aéreas norte-americanas Westjet e Hawaii Airlines disseram ter sido vítimas de hacks cibercriminosos. Na quarta-feira, a companhia aérea australiana Qantas também disse que foi atingida por um ciberataque, embora não estivesse imediatamente claro se esse ataque fazia parte da campanha do grupo.
“Eles desaceleraram, e os vimos dissipar por um tempo ao longo de 2024”, diz Adam Meyers, vice-presidente sênior de operações contra adversários da empresa de segurança CrowdStrike. “Então eles voltaram com força nos últimos meses, primeiro atingindo o varejo e depois atingindo seguradoras e, mais recentemente, mirando companhias aéreas.”
O Scattered Spider surgiu como um grupo de destaque no final de 2023, quando seus membros mudaram de ataques de SIM swapping para lançar ataques de ransomware debilitantes na Caesar’s Entertainment e MGM Resorts. O último custou à MGM cerca de 100 milhões de dólares para se recuperar. Pesquisadores enfatizam que o coletivo é motivado financeiramente, composto principalmente por adolescentes e jovens de língua inglesa, que frequentemente estão baseados nos EUA ou no Reino Unido. Os hackers do Scattered Spider são considerados um desdobramento da Com, uma rede amorfa de potencialmente milhares de trolls e criminosos, muitos dos quais se envolvem em assédio, extorsão e exploração infantil.
Os membros do Scattered Spider têm se agrupado cada vez mais em torno de uma tática de usar engenharia social direcionada para obter um pé dentro das redes das empresas. Os atacantes podem se passar por um membro da equipe que está bloqueado de sua conta de email da empresa e contatar o suporte técnico para obter acesso, antes de redefinir as credenciais de autenticação multifatorial. Pesquisadores dizem que o grupo também usou uma tática de criar sites de phishing convincentes onde as URLs frequentemente incluem o nome da organização-alvo juntamente com palavras como “okta”, “vpn” ou “helpdesk”. Uma vez dentro das redes, os hackers implantam vários tipos de ransomware ou roubam dados que são usados para extorquir empresas.
Meyers diz que a Crowdstrike acredita que o Scattered Spider tem aproximadamente quatro membros principais, que conduzem a escolha de possíveis vítimas e “aproveitam” recursos do ecossistema mais amplo da Com conforme necessário. A estrutura exata e o tamanho do Scattered Spider não estão claros, mas os pesquisadores concordam que o grupo depende de uma variedade de serviços de terceiros para realizar seus ataques.
“A dissuasão é extremamente difícil porque estamos essencialmente lutando contra um mercado onde muitos dos atores são substituíveis”, diz Hultquist, do Google. “Por exemplo, o Scattered Spider trabalhou com vários serviços de ransomware, então, se um cair, sempre há alguém para substituí-lo.”
Aiden Sinnott, um pesquisador sênior de ameaças da unidade de contra-ameaças da empresa de cibersegurança Sophos, diz que o Scattered Spider e a Com mais amplamente estão conectados por meio de relacionamentos e comunidades em servidores Discord ou grupos do Telegram. “É esse tipo de grupo em evolução onde talvez novos jovens atores de ameaças estejam entrando”, diz Sinnott. “Você pode ver essa progressão natural de escalada à medida que eles aprendem habilidades uns com os outros, e eles são muito adeptos de compartilhar suas vitórias.”
Alguns membros do Scattered Spider podem mirar empresas de renome, enquanto outros estão envolvidos em atividades menos notórias. “Existem grupos, ou indivíduos, que estão realmente focados em hackear contas do Coinbase e roubar cripto e coisas assim”, diz Sinnott. “Então eles nem estão focados nessas grandes organizações corporativas.”
Como diz Hultquist, “a atividade é extremamente resiliente, porque em vez de lutar contra um único ator, estamos realmente lutando contra um mercado.”