Os custos estão se acumulando devido a uma ameaça cibernética que dura três anos e que não mostra sinais de abrandamento à medida que se espalha para mais indústrias.
O provável culpado: um coletivo de hackers conhecido como “Scattered Spider”. O manual: entrar nos sistemas internos de uma empresa por meio de credenciais de funcionários hackeadas, causar caos e exigir resgate.
Recentemente, a Jaguar Land Rover foi alvo de um ataque do grupo. A empresa não conseguiu fabricar carros por um mês como resultado. Antes disso, a Qantas relatou que os bônus anuais dos executivos seriam cortados em 15% após serem atacados em julho pelo Scattered Spider.
A Clorox processou seu provedor de help desk, a Cognizant Technology Solutions, por 380 milhões de dólares em danos, alegando que a Cognizant redefiniu incorretamente senhas para hackers do Scattered Spider que se passavam por funcionários. Algumas semanas antes, o fornecedor da Whole Foods, United Natural Foods, estimou que perdeu até 400 milhões de dólares em vendas quando hackers interromperam os sistemas. Três anos atrás, cassinos foram atingidos.
Esse é um dinheiro real e uma ameaça real que a maioria das empresas não está bem preparada para enfrentar. Hoje, os hackers não apenas invadem sistemas corporativos, eles fazem login — como ladrões entrando por portas abertas de casas. Quase nove em cada dez (88%) das violações por meio de aplicativos web básicos envolvem o uso de credenciais roubadas, indica o Relatório de Investigações de Violação de Dados da Verizon de 2025.
No caso do Scattered Spider, os culpados fazem coisas como pedir redefinições de senha, alterar números de telefone vinculados a soluções de autenticação multifatorial ou adicionar números de telefone para redefinir senhas, entre outros.
O aumento da IA e dos agentes de IA torna a segurança das identidades ainda mais crítica. À medida que os agentes de IA se espalham, eles representam uma nova classe de “identidades não humanas” que aumentam drasticamente a superfície de ataque. Como na maioria das ameaças cibernéticas, o Scattered Spider muda de tática o tempo todo e estamos vendo indícios do uso de IA apoiando e aumentando suas táticas de engenharia social.
Colocando obstáculos
Ao modelar abordagens para aumentar a resiliência contra seus ataques, é melhor pensar no pior cenário, que é: “assumir a violação”. Em seguida, avalie quão rapidamente você poderia detectar ataques que correspondem à sua abordagem e o que suas equipes fariam. Embora mantê-los fora seja um objetivo admirável, é muito difícil, uma vez que eles exploram os processos que você configurou para apoiar seus próprios usuários empresariais ou contratados. O objetivo mais realista é estabelecer obstáculos para desacelerar os hackers para que sejam detidos antes de causar muitos danos.
As etapas para fortalecer as defesas incluem:
Trabalho em equipe. A maioria das empresas tem “equipes de segurança”. Muitas empresas agora têm “equipes de identidade”. Identidade refere-se a funcionários — ou agentes de IA — com acesso a ativos da empresa por meio de senhas e outras credenciais.
Dada a ascensão das ameaças cibernéticas baseadas em identidade, é imperativo que essas equipes se fundam ou trabalhem mais próximas para encontrar soluções compartilhadas. Os ativos da empresa agora também estão altamente fragmentados, com alguns na nuvem, alguns no local e alguns por meio de provedores de software como serviço, como o Slack. Também há TI sombra e IA sombra, como o ChatGPT, que os funcionários usam e que as pessoas de segurança ou identidade podem não saber que estão usando. Cada organização precisa estar clara sobre quem possui o quê do ponto de vista de segurança e identidade, para que diretrizes, políticas e soluções sejam mais à prova de falhas.
Conscientização. Quão exposto você está? Quanta “expansão de identidade” você tem? A expansão de identidade ocorre ao longo do tempo, assim como a expansão de dados. Novas contratações recebem identidades digitais e acesso a dados da empresa. Em quase todos os casos quando se trata da nuvem, as políticas de gerenciamento de acesso de identidade são muito brandas, descobriu a pesquisa, o que significa que os funcionários têm acesso a coisas que realmente não precisam — o que pode aumentar o risco de segurança. Também há risco quando as pessoas deixam uma empresa, voluntariamente ou não, se as identidades digitais não forem rapidamente ou corretamente encerradas.
Com o Scattered Spider, estamos vendo criminosos acessarem coisas que os verdadeiros funcionários não abriram há mais de um ano. O gerenciamento de identidade não é uma tarefa única. As identidades têm um ciclo de vida e precisam ser gerenciadas durante todo o processo.
Observabilidade. Quão bem você pode ver o que está acontecendo dentro da sua empresa? Um ataque via rede dispara sinos e alarmes. Mas quando um “funcionário” faz login que não é um funcionário real, não há sino ou alarme. Em vez disso, você quer detectar ameaças por meio de sinais de atividade suspeita e maliciosa.
Treinamento/Teste Básico. Quase 70% das organizações recentemente pesquisadas “acreditam que seus funcionários carecem de conhecimento crítico em cibersegurança”. Isso precisa mudar porque os funcionários, embora sejam um dos maiores riscos de cibersegurança, também serão uma das suas melhores linhas de defesa. Claro, o treinamento deve se estender aos fornecedores terceirizados.
Em seu processo, a Clorox alega que um hacker obteve uma redefinição de autenticação multifatorial simplesmente dizendo ao trabalhador do help desk que a MFA não estava funcionando e que ele ou ela estava “no meu telefone antigo”. Além do treinamento, teste o desempenho do fornecedor para que você não seja pego de surpresa se eles não estiverem fazendo o que deveriam.
Como um bom seguro
Sem dúvida, as empresas eventualmente tomarão as medidas certas para conter ataques semelhantes aos do Scattered Spider. A má notícia é que os cibercriminosos se ajustarão para lançar novas táticas. As empresas que priorizam a defesa cibernética serão como pessoas que têm um bom seguro. Elas nunca prevenirão totalmente o risco, mas mitigarão danos.