Pesquisadores de cibersegurança identificaram uma nova onda de ataques cibernéticos voltados ao setor financeiro, atribuídos ao grupo criminoso conhecido como Scattered Spider, colocando em dúvida suas recentes declarações de que estariam “ficando invisíveis”.
A empresa de threat intelligence ReliaQuest observou sinais de que o grupo mudou seu foco para instituições financeiras.
Esse movimento é evidenciado pelo aumento de domínios falsos, possivelmente ligados ao grupo e direcionados a esse setor, assim como por uma intrusão recentemente detectada contra uma organização bancária norte-americana, que optou por manter seu nome a salvo.
Segundo a ReliaQuest, o Scattered Spider conseguiu acesso inicial ao explorar engenharia social para invadir a conta de um executivo.
Eles redefiniram a senha dele por meio do recurso Self-Service Password Management do Azure Active Directory.
A partir desse ponto, os invasores tiveram acesso a documentos sensíveis de TI e segurança, fizeram movimentações laterais dentro do ambiente Citrix e VPN, e comprometeram a infraestrutura VMware ESXi.
Com isso, conseguiram extrair credenciais para ampliar sua infiltração na rede.
Para escalar privilégios, os hackers redefiniram a senha de uma conta de serviço da Veeam, atribuíram permissões de Azure Global Administrator e moveram máquinas virtuais para dificultar a detecção.
Há ainda indícios de tentativas de exfiltrar dados de plataformas como Snowflake e Amazon Web Services (AWS), além de outros repositórios.
Fim ou apenas uma cortina de fumaça?
Essas ações recentes contradizem as alegações do grupo de que interromperia suas operações, junto com outros 14 grupos criminosos, incluindo o LAPSUS$.
O Scattered Spider funciona como uma coalizão informal dentro de uma entidade maior chamada The Com.
O grupo mantém grande sobreposição com outras organizações criminosas, como ShinyHunters e LAPSUS$, a ponto de essas três formarem uma entidade maior apelidada de “scattered LAPSUS$ hunters”.
Vale destacar que uma dessas ramificações, o ShinyHunters, também se envolveu em tentativas de extorsão após a exfiltração de dados sensíveis de instâncias Salesforce de vítimas.
Em muitos casos, essa atividade ocorreu meses depois da primeira invasão, promovida por outro grupo financeiro identificado pela Mandiant (do Google) como UNC6040.
A ReliaQuest lembra que esse incidente reforça a necessidade de não se deixar levar por uma falsa sensação de segurança.
Assim como acontece com grupos de ransomware, não existe “aposentadoria” genuína: eles podem se reagrupar ou até criar novas identidades para continuar operando.
Karl Sigler, gerente de pesquisa de segurança do SpiderLabs Threat Intelligence na Trustwave, reforça essa visão: “A alegação recente de que o Scattered Spider está se aposentando deve ser encarada com bastante ceticismo.
Mais do que um desmantelamento real, esse anúncio parece um movimento estratégico para se afastar da pressão crescente das autoridades.”
Sigler destaca que a carta de despedida funciona como um recuo tático, permitindo que o grupo reavalie suas táticas, aprimore seu modus operandi e evite ações de contenção, além de dificultar a atribuição dos futuros ataques a esses mesmos atores.
“É provável que algum componente da infraestrutura operacional do grupo tenha sido comprometido.
Seja por uma invasão a sistemas, exposição de canais de comunicação ou prisões de membros de menor escalão, algo deve ter motivado o grupo a ‘ficar invisível’, ao menos temporariamente.
Historicamente, quando grupos cibercriminosos enfrentam forte pressão ou interrupções internas, sua ‘aposentadoria’ é apenas de nome, eles pausam, se reorganizam e, depois, reaparecem com uma nova identidade.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...