O notório grupo de cibercrime conhecido como Scattered Spider (também conhecido como UNC3944), que recentemente visou diversos varejistas no Reino Unido e nos EUA, começou a mirar grandes companhias de seguro, de acordo com o Google Threat Intelligence Group (GTIG).
"O Google Threat Intelligence Group está agora ciente de múltiplas intrusões nos EUA que apresentam todas as características da atividade da Scattered Spider," disse John Hultquist, analista-chefe na GTIG, em um e-mail na segunda-feira(16).
"Estamos observando incidentes no setor de seguros. Dada a história deste ator de focar em um setor por vez, a indústria de seguros deve estar em estado de alerta máximo, especialmente para esquemas de engenharia social que visam seus help desks e call centers."
Scattered Spider é o nome dado a um coletivo amorfo conhecido por seu uso de táticas avançadas de engenharia social para invadir organizações.
Nos últimos meses, acredita-se que os atores de ameaças formaram uma aliança com o cartel de ransomware DragonForce, na esteira da suposta tomada da infraestrutura do RansomHub por este último.
No entanto, a GTIG informou ao The Hacker News que não viu nenhuma evidência de colaboração entre Scattered Spider e DragonForce ou do uso do ransomware deste.
"O grupo demonstrou repetidamente sua habilidade de se passar por funcionários, enganar equipes de suporte de TI e burlar a autenticação multifator (MFA) através de táticas psicológicas astutas," disse a SOS Intelligence.
Frequentemente descritos como 'falantes nativos do inglês', suspeita-se que operem ou tenham laços com países ocidentais, trazendo uma fluência cultural que torna seus ataques de phishing e baseados em telefone alarmantemente eficazes.
No início deste mês, a ReliaQuest revelou que Scattered Spider e DragonForce estão cada vez mais visando provedores de serviços gerenciados (MSPs) e contratados de TI para obter acesso a vários clientes downstream através de um único comprometimento.
A Mandiant, de propriedade do Google, disse que os atores de ameaças frequentemente focam em grandes organizações empresariais, provavelmente esperando garantir uma recompensa maior.
São particularmente visadas as empresas com grandes help desks e funções de TI terceirizadas que são suscetíveis a ataques de engenharia social.
Para mitigar as táticas utilizadas pelo grupo de e-crime, recomenda-se aprimorar a autenticação, impor controles de identidade rigorosos, implementar restrições de acesso e limites para prevenir a escalada de privilégios e o movimento lateral, e treinar o pessoal do help desk para identificar positivamente os funcionários antes de redefinir suas contas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...