Prateleiras vazias de supermercado e aviões no chão costumam sinalizar uma crise, quer seja um evento climático extremo, uma crise de saúde pública ou uma emergência geopolítica. Mas essas cenas de caos nas últimas semanas no Reino Unido, Estados Unidos e Canadá foram causadas por ciberataques motivados financeiramente, aparentemente perpetrados por um coletivo de adolescentes aventureiros.
Um grupo cibercriminoso notório conhecido como Scattered Spider é conhecido por usar técnicas de engenharia social para infiltrar empresas-alvo, enganando os funcionários de help desk de TI para conceder acesso ao sistema. Pesquisadores afirmam que o grupo parece adquirir expertise sobre os sistemas de backend comumente usados por empresas em um setor específico e então usa esse conhecimento para atingir um grupo de alvos antes de passar para outro setor. O grupo frequentemente lança ransomware ou realiza ataques de extorsão de dados uma vez que compromete suas vítimas.
Diante da pressão crescente da aplicação da lei no ano passado, que culminou em acusações e prisões de cinco suspeitos supostamente ligados ao Scattered Spider, os pesquisadores afirmam que o grupo estava menos ativo em 2024 e parecia estar tentando passar despercebido. No entanto, os ataques cada vez mais intensos nas últimas semanas mostraram que, longe de serem derrotados, o Scattered Spider está mais uma vez ousado.
“Há atores muito talentosos no Scattered Spider quando se trata de engenharia social, e eles identificaram uma grande lacuna em nossos sistemas de segurança que estão aproveitando com sucesso”, diz John Hultquist, analista-chefe do grupo de inteligência de ameaças do Google. “Esse grupo está realizando ataques sérios em nossa infraestrutura crítica, e espero que não estejamos perdendo a oportunidade de lidar com a ameaça mais iminente.”
Embora um número de incidentes não tenha sido atribuído publicamente, uma onda avassaladora de ataques recentes em cadeias de supermercados do Reino Unido, seguradoras da América do Norte e companhias aéreas internacionais tem sido amplamente relacionada ao Scattered Spider. Em maio, a National Crime Agency do Reino Unido confirmou que estava investigando o Scattered Spider em relação aos ataques em varejistas britânicos. E o FBI alertou em um comunicado na sexta-feira que observou “o grupo cibercriminoso Scattered Spider expandindo seu foco para incluir o setor aéreo”. O aviso veio à tona quando as companhias aéreas norte-americanas Westjet e Hawaiian Airlines afirmaram ter sido vítimas de ataques cibernéticos. Na quarta-feira, a companhia aérea australiana Qantas também disse ter sido alvo de um ciberataque, embora não tenha ficado imediatamente claro se esse ataque fazia parte da campanha do grupo.
“Eles diminuíram o ritmo, e vimos eles dissiparem por um tempo ao longo de 2024”, diz Adam Meyers, vice-presidente sênior de operações contra adversários na empresa de segurança CrowdStrike. “Então eles voltaram com força nos últimos meses, primeiro atingindo o varejo e depois atingindo seguradoras e, mais recentemente, companhias aéreas.”
O Scattered Spider surgiu pela primeira vez como um grupo de alto perfil no final de 2023, à medida que seus membros passaram de ataques de troca de SIM para lançar ataques devastadores de ransomware contra a Caesar’s Entertainment e MGM Resorts. Este último custou cerca de US $100 milhões para a MGM se recuperar. Os pesquisadores enfatizam que o coletivo é motivado financeiramente, composto principalmente por adolescentes e jovens que falam inglês e que costumam ser baseados nos EUA ou no Reino Unido. Os hackers do Scattered Spider são considerados um desdobramento do Com, uma rede amorfa de potencialmente milhares de trolls e criminosos, muitos dos quais se envolvem em assédio, extorsão e exploração infantil.
