Scattered Spider: What You Need to Know

Scattered Spider é o apelido dado pelo CrowdStrike a um grupo de eCrime pouco conectado, cuja associação é transitória e vagamente definida. Outros fornecedores rastreiam esse grupo de agentes de ameaças como UNC3944, Storm-0875, LUCR-3 e outras designações.  

As motivações do grupo são geralmente financeiras e visam uma ampla gama de indústrias e países. As vítimas geralmente se encontram em nações ocidentais, como os Estados Unidos, o Canadá, o Reino Unido e a Suíça, mas também é sabido visar nações do Leste Asiático, como a Tailândia, e entidades sul-americanas no Brasil. 

Ativo desde 2022, Scattered Spider normalmente monetiza os ataques por meio de extorsão de ransomware e roubo de dados, com foco em alvos de grande porte, como empresas da Fortune 500 em setores como tecnologia, serviços financeiros, varejo, aeroespacial e outros. 

Atividade recente do Scattered Spider 

Manchetes recentes creditam ao grupo ataques em grande escala a alvos proeminentes, incluindo Transport for London, Caesars, MGM Resorts, DoorDash, CloudFlare, Marks & Spencers, Harrods e Co-op.  

Com o aumento da prevalência dos ataques, é importante entender como eles normalmente conseguem acesso a uma organização e como operam depois que entram na rede. 

Os alvos do grupo tendem a mudar com o tempo — atualmente, o varejo parece ser a principal vítima no setor, mas no próximo mês, o foco poderá ser outro. É importante que todas as empresas entendam que podem se tornar alvos desse grupo a qualquer momento, especialmente as grandes organizações com presença global.  

TTPs Comuns 

O Scattered Spider tende a utilizar engenharia social avançada e fraude para ter acesso inicial a uma organização, geralmente por meio de SMS (smishing) ou chamadas de voz (vishing). Eles também são conhecidos por ligar para números de helpdesk externos na tentativa de redefinir senhas ou números de MFA de usuários desavisados, concedendo ao grupo acesso às contas. 

As atividades deles tendem a culminar em roubo de dados em massa e ransomware, resultando em dupla extorsão das vítimas, obrigando-as a pagar tanto para descriptografar os dados quanto para não divulgar os dados roubados. Os métodos que eles utilizaram incluem: 

• Falsificação de identidade do helpdesk: utiliza engenharia social para convencer os helpdesks a redefinir senhas e materiais de MFA para administradores-alvo ou outras contas privilegiadas 

• "Troca de SIM" para ter acesso inicial às identidades 

• Extorsão dupla para monetizar as violações, criptografando e ameaçando liberar dados 

• Comprometimento do Active Directory: conhecido por extrair o NTDS.dit dos controladores de domínio — o principal banco de dados de credenciais do Active Directory 

• Phishing de credenciais: utiliza domínios semelhantes para enganar as vítimas e fazê-las enviar credenciais — geralmente contêm termos como okta, sso, help, corp, internal, sso etc. 

• Movimento lateral: Conhecido por abusar de RDP, SSH, PsExec e Tarefas Agendadas para se deslocar entre sistemas dentro de uma rede 

• Persistência por meio de ferramentas de RMM: Abusa de plataformas de monitoramento e gerenciamento remoto, como AnyDesk, para manter o acesso 

• Despejo de credenciais: usando ferramentas como Mimikatz, secretsdump.py e DCSync 

• Implantação de ransomware: observou-se o uso da variante DragonForce Ransomware-as-a-Service (RaaS) para realizar ataques 

Recomendações de defesa 

O Laboratório de Ameaças da Varonis recomenda as seguintes medidas defensivas para manter os dados protegidos contra ameaças como o Scattered Spider:  

• Reforçar os protocolos de helpdesk: implementar procedimentos de verificação de identidade para evitar ataques de engenharia social. 

• Implante uma MFA resistente a phishing: use tokens de hardware ou de correspondência de números em vez de notificações push básicas para todos os pontos de acesso remoto 

• Garantir a cobertura de endpoints: mantenha 100% de cobertura com ferramentas de detecção e resposta de endpoint (EDR) bem configuradas e monitoramento ativo de alertas 

• Filtrar o tráfego da web: use proxies da web para bloquear o acesso a domínios suspeitos ou maliciosos 

• Monitore os repositórios de dados críticos: Utilize ferramentas como Varonis para detectar padrões de acesso incomuns que possam indicar uma violação em andamento 

• Realizar exercícios de red team: testar regularmente as defesas contra ataques simulados, especialmente direcionados ao Active Directory 

• Restringir o acesso à internet do servidor: Aplique regras de negação padrão e permita apenas domínios e IPs essenciais no nível do firewall 

• Manter os sistemas atualizados: certifique-se de que todos os sistemas operacionais e aplicativos estejam atualizados 

• Mantenha backups seguros: armazene backups offline e teste-os regularmente para garantir a capacidade de recuperação em caso de ataque 

Não espere ocorrer um vazamento de dados.

O Scattered Spider é único porque as classificações não estão bem definidas e a associação é difícil de atribuir quando comparada a outros agentes de ameaças.  

Como sempre, as principais medidas defensivas visam o monitoramento, os backups e a implementação de procedimentos comuns de práticas recomendadas na rede da sua organização.  

Se você precisar de assistência imediata ou achar que sua organização foi afetada por ameaças como o Scattered Spider, entre em contato com nossa equipe.