O FBI emitiu um alerta urgente sobre o avanço do grupo de cibercriminosos conhecido como Scattered Spider, que tem explorado falhas humanas e procedimentos internos para burlar a autenticação multifator (MFA) e acessar sistemas críticos. Os ataques mais recentes têm como alvo empresas do setor aéreo e envolvem técnicas de engenharia social aplicadas a help desks e equipes de suporte, permitindo que os criminosos acessem contas de executivos seniores e infraestrutura corporativa sensível.
Grupo manipula help desks e supera barreiras de MFA
Segundo a agência norte-americana, os criminosos têm se passado por funcionários ou fornecedores terceirizados para enganar profissionais de suporte técnico e convencê-los a adicionar novos dispositivos de MFA a contas previamente comprometidas. O objetivo é simples: contornar proteções avançadas sem acionar alarmes automáticos.
Essa abordagem não exige necessariamente uma falha técnica, mas sim uma brecha processual ou comportamental. Um dos casos relatados envolveu a engenharia social aplicada contra o help desk de uma grande organização. Os invasores, ao se passarem por um diretor financeiro (CFO), conseguiram solicitar a redefinição de MFA e, assim, acessaram remotamente diversos sistemas internos.
Setor aéreo se torna alvo prioritário
Empresas como Palo Alto Networks e Mandiant confirmaram ataques recentes envolvendo o grupo, com foco na indústria da aviação. O Scattered Spider se aproveita do fato de que o setor depende de operações altamente conectadas e não pode tolerar interrupções prolongadas — o que aumenta o impacto potencial de qualquer comprometimento.
Além disso, o grupo tem utilizado dados coletados em redes sociais, em combinações com informações de vazamentos anteriores, para montar perfis altamente convincentes das vítimas. Isso inclui cargos, padrões de linguagem e até hábitos de contato — tornando os enganos ainda mais difíceis de detectar.
Impacto: senhas, SharePoint e infraestrutura violada
Em um dos incidentes analisados, após obter acesso à conta de um CFO, os atacantes exploraram amplamente o ambiente digital da empresa. Invadiram o SharePoint corporativo, comprometeram infraestrutura virtual e até conseguiram extrair mais de 1.400 senhas armazenadas em um cofre digital.
Quando confrontados ou detectados, os criminosos adotaram posturas agressivas. Em um caso, deletaram regras do firewall da Azure, paralisando operações e dificultando a resposta da equipe de segurança.
Scattered Spider: perfil de um grupo perigoso
Ativo desde 2021, o Scattered Spider evoluiu de fóruns e redes como Discord e Telegram para se tornar uma das ameaças mais articuladas da atualidade. Seu modus operandi combina:
- Planejamento meticuloso: pesquisa prévia sobre a vítima;
- Simulação de identidade de alto nível: imitações convincentes de executivos;
- Acesso destrutivo: sabotagem ativa de sistemas ao menor sinal de detecção.
É um grupo que se posiciona além do simples ransomware: sua capacidade de penetrar e manter-se dentro de ambientes corporativos críticos é comparável a operações avançadas de espionagem digital.
Recomendações do FBI para as empresas
Diante do cenário, o FBI emitiu orientações específicas para organizações privadas e públicas, especialmente aquelas com operações críticas:
- Revisar políticas de verificação de identidade: Nunca executar solicitações de alteração de MFA sem validação fora de banda com a pessoa solicitante.
- Treinar help desks e suporte técnico: Capacitar essas equipes para reconhecer sinais de engenharia social e desconfiar de pedidos incomuns, mesmo que pareçam legítimos.
- Implementar autenticação baseada em hardware: Sempre que possível, substituir códigos OTP por chaves físicas de segurança (como YubiKeys), menos suscetíveis a engenharia social.
- Monitorar logs de autenticação e alterações de MFA: Automatizar alertas para mudanças em dispositivos de autenticação em contas sensíveis.
O que está em jogo: confiança e continuidade
A principal lição dos ataques do Scattered Spider é que não basta investir em tecnologia se os processos humanos e operacionais não estiverem igualmente protegidos. Com um alvo bem definido — contas privilegiadas de alto escalão — e uma estratégia baseada em manipulação comportamental, o grupo demonstra que a segurança digital vai além do software: exige uma cultura organizacional robusta e vigilância constante.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
