O grupo cibercriminoso conhecido como Scattered Spider (ou UNC3944) ampliou suas atividades e agora mira grandes seguradoras dos EUA, segundo alerta do Google Threat Intelligence Group (GTIG). O grupo, famoso por ataques anteriores a varejistas nos EUA e no Reino Unido, tem como foco principal as equipes de suporte de TI, utilizando táticas avançadas de engenharia social. De acordo com o analista-chefe do GTIG, John Hultquist, diversos incidentes recentes apresentam características típicas do Scattered Spider, incluindo tentativas de enganar centrais de atendimento e help desks para obter acesso privilegiado aos sistemas das empresas.
O histórico do grupo indica que, ao escolher um setor, eles concentram seus ataques até alcançar seus objetivos. O Scattered Spider é conhecido por sua habilidade em se passar por funcionários legítimos, manipular equipes de suporte e burlar autenticações multifator (MFA), usando estratégias psicológicas sofisticadas. Especialistas destacam que os criminosos geralmente são falantes nativos de inglês e podem ter ligação com países ocidentais, o que aumenta a eficácia de seus ataques por telefone e phishing.
Informações recentes apontam também para uma possível aliança entre o Scattered Spider e o cartel de ransomware DragonForce, que teria assumido a infraestrutura da RansomHub. Segundo os pesquisadores, ambos estão focando cada vez mais em provedores de serviços gerenciados (MSPs) e contratados de TI, visando um ataque que permita acesso a múltiplos clientes simultaneamente. Para se proteger, especialistas recomendam o reforço de controles de identidade, melhorias nas autenticações, limitação de privilégios e treinamento específico para que as equipes de help desk possam verificar a identidade de quem solicita redefinições de conta.
