Identidade como Alvo: Como o Scattered Spider Transforma seu Help Desk em Ameaça

Imagine a cena: um analista de help desk, no final de um dia agitado, é alvo de uma sofisticada campanha de engenharia social. Do outro lado da linha, uma voz firme e apressada se identifica como um executivo sênior da empresa, ele está em trânsito, com o notebook sem bateria, e precisa de acesso urgente a um relatório crítico. A solicitação é um clássico do manual do cibercrime: um reset de senha e, crucialmente, a reconfiguração do token de autenticação multifator (MFA) para o seu novo celular, pressionado pela urgência e pela autoridade do cargo, o analista, focado em ser prestativo e eficiente, segue os procedimentos, e em minutos, o acesso é concedido. O que ele não sabe é que acabou de entregar as chaves do reino a um dos grupos de cibercrime mais habilidosos da atualidade, provando que até mesmo as defesas de MFA podem ser contornadas quando o fator humano é explorado.

Este cenário não é hipotético, é o manual de operações do Scattered Spider, um grupo de ameaças que aperfeiçoou a arte de transformar o elo mais forte de uma organização: seus colaboradores em sua maior vulnerabilidade. Em um mundo onde o custo médio de uma violação de dados atingiu a marca de $4.88 milhões, segundo o relatório Custo de uma Violação de Dados 2024 da IBM, e onde ataques originados por credenciais comprometidas levam, em média, 292 dias para serem identificados e contidos, de acordo com dados da própria IBM, a abordagem deste grupo representa uma mudança de paradigma. Eles não exploram primariamente falhas de software, mas sim as falhas sistêmicas nos processos de confiança e na psicologia humana.

O Scattered Spider (também rastreado como UNC3944) profissionalizou a engenharia social contra help desks e equipes de TI, com um objetivo bem claro, que é contornar o MFA, sequestrar identidades e, em horas, escalar de e‑mail corporativo a ransomware (ex.: DragonForce). A ameaça não depende de 0‑days: ela passa agora a explorar processos e comportamentos.

De acordo com o relatório DBIR 2024 da Verizon, 68% das violações envolvem um elemento humano não malicioso. O Scattered Spider (também rastreado como UNC3944 e Octo Tempest) capitaliza essa estatística, provando que o alvo do cibercrime moderno não é mais a máquina, mas o processo de confiança que a governa. 

Neste artigo, vamos dissecar a anatomia de um ataque do Scattered Spider, desde a engenharia social meticulosamente planejada até a tomada de controle de infraestruturas críticas. Mais importante, mostraremos como uma defesa moderna, centrada em identidade e orquestrada por especialistas, é a única resposta eficaz para desarmar uma ameaça que reside dentro das nossas próprias linhas.

Ouça o resumo do artigo:

O manual de engenharia social do Scattered Spider

O sucesso do Scattered Spider não se baseia na sorte, mas em um processo metódico e multifásico que explora a confiança em cada etapa. A cadeia de ataque é uma aula de manipulação psicológica e abuso de processos corporativos.E para entender toda essa cadeia de ataque é muito importante entender primeiro o perfil desse grupo, e depois vamos aprofundar nas fases dessa cadeia de ataque trazendo em primeira mão como que eles trabalham e pensam. 

Perfil do Grupo

O Scattered Spider (UNC3944) é um grupo com motivação financeira, composto por indivíduos falantes nativos de inglês, com registros de atividade atribuídos a integrantes localizados nos Estados Unidos e Reino Unido. Algumas investigações apontam para a participação de membros com idade inferior a 20 anos e com alto conhecimento em engenharia social e operações de intrusão.

Origem e Histórico

• Atividade registrada: desde 2022, com aumento significativo de incidentes a partir de 2023

• Primeiros alvos conhecidos: empresas de telecomunicações e provedores de tecnologia

• Evolução tática: expansão para setores como finanças, varejo, hospitalidade, seguros e mídia, além de adoção de táticas mais sofisticadas de intrusão em ambientes de virtualização e nuvem

Motivação

• Primariamente financeira: com foco em extorsão por meio de ransomware e ameaça de vazamento de dados (double extortion)

• Monetização adicional: por meio de roubo de credenciais e venda de acessos iniciais (Initial Access Brokerage)

Características Operacionais

• Engenharia Social como núcleo da operação: utilização de vishing, smishing, phishing por e-mail e mensagens instantâneas para se passar por helpdesk ou TI interno da vítima

• Alta adaptabilidade: uso de múltiplas identidades, domínios falsos que imitam serviços legítimos e modificação rápida de infraestrutura para evitar detecção

• Velocidade de execução: ataques completos, desde o acesso inicial até a exfiltração e criptografia, podem ocorrer em poucas horas

• Infraestrutura distribuída: uso de VPNs, proxies, TOR, armazenamento em nuvem (Amazon S3, MEGA.nz) e canais de comunicação criptografados (TOX, Signal)

Fase 1: Reconhecimento e preparação do terreno

Antes de qualquer contato, o grupo realiza uma extensa pesquisa. 

Utilizando técnicas de Inteligência de Fonte Aberta (OSINT), eles mapeiam a estrutura organizacional da vítima, identificando funcionários em posições-chave, como executivos, administradores de TI e equipes financeiras. Eles coletam informações pessoais e profissionais que serão usadas para construir pretextos críveis e convincentes.

Paralelamente, eles preparam a infraestrutura técnica para o golpe. Isso inclui o registro de domínios look-a-like que imitam portais de Single Sign-On (SSO), Okta ou páginas de suporte da empresa-alvo, como [empresa]-servicedesk.com ou [empresa]-sso.com. Esses domínios serão a linha de frente de suas campanhas de phishing.

Fase 2: O contato multicanal – Vishing, Smishing e MFA Fatigue

Com o terreno preparado, o ataque social começa, frequentemente utilizando múltiplos canais para aumentar a pressão e a legitimidade percebida:

• Vishing (Voice Phishing): Esta é a tática central do grupo. Armados com informações detalhadas sobre o funcionário que estão personificando, os atacantes ligam para o help desk de TI. Eles usam pretextos de urgência para solicitar o reset de senhas e, crucialmente, a transferência do token MFA para um novo dispositivo que está sob seu controle.
  
  A própria missão do help desk: resolver problemas rapidamente, é aqui transformada em uma arma. A pressão para atender um “executivo” com agilidade muitas vezes leva os analistas a contornar verificações de segurança rigorosas, criando a brecha que o atacante precisa.
  
• Smishing (SMS Phishing): Simultaneamente, o grupo lança campanhas de phishing por SMS, enviando mensagens para os funcionários da empresa com links para os domínios falsos que prepararam.
  
  As mensagens alertam sobre supostos problemas de acesso ou atualizações de segurança, induzindo as vítimas a inserir suas credenciais válidas nos portais fraudulentos.
  
• MFA Fatigue (Push Bombing): Para alvos que já têm suas credenciais, mas estão protegidos por MFA via notificação push, o Scattered Spider emprega uma tática de força bruta psicológica. Eles iniciam repetidas tentativas de login, bombardeando o dispositivo do usuário com dezenas de solicitações de aprovação.
  
  A intenção é causar frustração e confusão, levando o usuário a aprovar uma das notificações apenas para fazer o “barulho” parar. Essa tática explora a forma como o MFA foi implementado: a aprovação se tornou um reflexo condicionado, desprovido de análise crítica, transformando uma medida de segurança em um hábito explorável.
  
• SIM Swapping: Em casos mais direcionados, o grupo contata a operadora de telefonia da vítima e, usando engenharia social, a convence a transferir o número de telefone para um chip (SIM card) em sua posse.
  
  Com isso, eles passam a receber todos os códigos de verificação e tokens MFA enviados por SMS, obtendo controle total sobre a identidade digital do alvo.

Da identidade comprometida ao controle total

Uma vez que o acesso inicial é obtido através da manipulação de um usuário ou de um processo, o Scattered Spider move-se rapidamente para se entrincheirar na rede, escalar privilégios e se tornar invisível para as equipes de defesa.

Estabelecimento da persistência e evasão de defesas

O grupo evita o uso de malwares tradicionais, que são facilmente detectados por assinaturas. Em vez disso, eles adotam uma abordagem de Living off the Land (LOTL), utilizando ferramentas legítimas de Acesso e Monitoramento Remoto (RMM), como AnyDesk, TeamViewer, ScreenConnect (ConnectWise) . 

Ao instalar esses softwares, eles criam canais de comunicação criptografados e persistentes que se misturam ao tráfego administrativo normal, tornando a detecção extremamente difícil para sistemas de monitoramento convencionais.

Para neutralizar as defesas ativas, eles empregam técnicas avançadas. Uma das mais notórias é a Bring-Your-Own-Vulnerable-Driver (BYOVD). Eles exploram um driver legítimo e assinado digitalmente, mas que possui uma vulnerabilidade conhecida (como o driver de diagnóstico da Intel, CVE-2015-2291), para obter acesso em nível de kernel (SYSTEM).

A partir dessa posição privilegiada, eles utilizam utilitários como o STONESTOP e o POORTRY, um driver malicioso que eles conseguiram que fosse assinado para terminar à força os processos de soluções de segurança, como agentes de Endpoint Detection and Response (EDR), efetivamente cegando a equipe de segurança para suas atividades subsequentes.

Movimentação lateral e tomada de controle

Com as defesas desativadas, o próximo passo é mapear a rede e se mover lateralmente. Eles realizam uma enumeração completa do Active Directory usando ferramentas como ADRecon e Rubeus para identificar contas privilegiadas, controladores de domínio e relações de confiança. 

Um de seus objetivos é extrair o banco de dados do Active Directory (NTDS.dit), que contém os hashes de senha de todas as contas do domínio, permitindo-lhes quebrar senhas offline e obter acesso irrestrito.

O grupo demonstra um profundo conhecimento de ambientes de nuvem e híbridos, movendo-se com fluidez entre a infraestrutura on-premise e plataformas como Azure e AWS, explorando configurações de identidade mal gerenciadas para escalar privilégios e acessar dados críticos.

A tabela a seguir resume as principais táticas, técnicas e procedimentos (TTPs) do Scattered Spider, mapeadas para o framework MITRE ATT&CK®, que padroniza a linguagem sobre as ações de adversários.

Cadeia de Ataque: Visão Operacional

Para equipes de resposta a incidentes e analistas de segurança, é fundamental compreender como as táticas do Scattered Spider se materializam em evidências práticas durante um ataque real. A tabela abaixo oferece uma visão operacional da cadeia de ataque, correlacionando cada fase com as evidências típicas que podem ser observadas em logs e sistemas de monitoramento.

Indicadores de Comprometimento (IoCs)

Infraestrutura de Rede

•IP: 45[.]135[.]232[.]195

Hashes de Malware (MD5)

• MD5: 3a514e164db30acdb3063eb79a23aa4f
• MD5: f0410358a0d9dbd0dff3113d9c744ca7
• MD5: 99be93aa4c34b39fedcd37663c34511f
• MD5: 2dd7cd2bf15eec7d62689435fca9c49c
• MD5: 3c311cabe7de6a8c104f8f10541d392d
• MD5: 12e22f588f6128cf1a042d1122556cd2
• MD5: e4a4fc96188310b7b07e7c0525b5c0aa
• MD5: 15634dc79981e7fba25fb8530cedb981
• MD5: 8bcd83352bbd52ca7bda998a52dd0e5c
• MD5: 6c755a742f2b2e5c1820f57d0338365f
• MD5: d54bae930b038950c2947f5397c13f84
• MD5: 40126b1b3c6f86194fc554cdba3cb5d3
• MD5: 296cca79bbb3ca764de8fcdc2070ecc2
• MD5: b97812a2e6be54e725defbab88357fa2
• MD5: d44071f255785c73909d64f824331ebf
• MD5: 9db8f7378e2df01c842cfcb617e64475
• MD5: 9a218d69ecafe65eae264d2fdb52f1aa
• MD5: e67e7b8e0fb6baff4f25bb05dd5a5e21
• MD5: 3a6e2c775c9c1060c54a9a94e80d923a
• MD5: cd54780ee2213a05468fa0d24eedd576
• MD5: 91acae0fff5ecbf0b65c3ddebb5a824a
• MD5: 770c1dc157226638f8ad1ac9669f4883} 

Impacto de Negócio: Setores Mais Afetados

O Scattered Spider tem demonstrado capacidade de causar interrupções significativas em diversos setores críticos da economia:

Hospitalidade e Varejo

• Interrupções operacionais: Portais de check-in e sistemas de vendas online indisponíveis por dias
• Perdas financeiras: Receita perdida durante picos de demanda sazonal
• Impacto reputacional: Exposição de dados de clientes e falhas em períodos críticos

Aviação

• Indisponibilidade de serviços: Aplicativos móveis e sites corporativos fora do ar
• Restrições operacionais: Limitações no atendimento ao cliente e check-in digital
• Transparência obrigatória: Necessidade de comunicação pública sobre incidentes por regulamentação setorial

Seguros e Serviços Financeiros

• Alto risco regulatório: Dados sensíveis de clientes sob ameaça de exposição
• SLA críticos: Necessidade de restauração de serviços dentro de prazos regulamentares
• Impacto sistêmico: Potencial de afetar cadeia de pagamentos e liquidação financeira

A velocidade de execução do grupo – ataques completos em poucas horas – amplifica significativamente o impacto, reduzindo o tempo disponível para resposta e contenção.

Blindagem de identidades: A resposta estratégica da Asper para desarmar a ameaça

Se a identidade do usuário é o vetor do ataque, a segurança da identidade deve ser o núcleo da defesa. Uma abordagem reativa é insuficiente; é preciso uma estratégia proativa que governe, controle e proteja cada identidade, humana ou máquina, em todo o seu ciclo de vida. 

A abordagem da Asper como um Trust Advisor materializa-se na orquestração de soluções líderes de mercado através do seu

Cyber Fusion Center, combinando tecnologia de ponta com inteligência humana especializada.

Implementação Prática: Estratégia em 3 Fases

Antes (Preparação)

• Migrar MFA para FIDO2/WebAuthn: Desabilitar SMS/push genérico vulnerável a SIM swapping
• Implementar runbook anti-vishing: Callback obrigatório, número de desafio, registro de chamado no help desk
• Lista branca de RMM: Alertas automáticos para novas instalações/execuções de ferramentas de acesso remoto
• Ativar proteções de kernel: Driver block rules e tamper-protection no EDR
• Segregar administração: Separar admin de vSphere do AD; aplicar admin-of-last-resort offline

Durante (Resposta)

• SOAR automatizado: Revogar sessões/tokens, desregistrar device suspeito, isolar host, bloquear domínio/IP de C2
• Elevar políticas adaptativas: WAF/IdP para impossibilitar validação via fatores fracos
• Comunicação coordenada: Status-page atualizado e orientação para times de negócio

Depois (Fortalecimento)

• Post-mortem ágil: Análise ≤ 48h com métricas MTTD/MTTR e melhorias identificadas
• Simulação BAS: Revalidar políticas anti-vishing/MFA/ESXi através de testes controlados
• Campanhas de certificação: IGA e rotação de segredos para reduzir superfície de ataque

Governando o acesso para neutralizar a movimentação lateral com SailPoint

A capacidade do Scattered Spider de se mover lateralmente pela rede é diretamente alimentada por um problema sistêmico: o privilege creep, o acúmulo gradual e descontrolado de acessos por parte dos usuários. Cada permissão desnecessária é uma porta aberta para o atacante.

A Asper enfrenta esse desafio implementando e gerenciando a plataforma de Governança de Identidade (IGA) da SailPoint, que estabelece o Princípio do Menor Privilégio (PoLP) como uma regra inquebrável.

• Certificação de Acessos: Através de campanhas de certificação periódicas e automatizadas, a SailPoint força os gestores de negócio a revisar e justificar cada acesso que suas equipes possuem.
  
  Esse processo transforma a governança, tradicionalmente vista como uma tarefa de compliance, em um mecanismo de defesa ativo. Ele reconfigura continuamente o campo de batalha, removendo as “estradas” e “pontes” (acessos excessivos) que o Scattered Spider usaria para se propagar, contendo o raio de explosão de um eventual comprometimento inicial.
  
• Provisionamento Automatizado: A plataforma automatiza o ciclo de vida das identidades, garantindo que um novo colaborador receba apenas o acesso estritamente necessário para sua função (just-in-time) e que esse acesso seja instantaneamente revogado em caso de mudança de cargo ou desligamento.
  
  Isso elimina o risco de “contas órfãs” — um alvo primário para atacantes que buscam acesso persistente e não detectado.

Fortalecendo a autenticação contra manipulação com CyberArk

Para combater diretamente as táticas de engenharia social focadas em roubar credenciais e contornar o MFA, a Asper utiliza a plataforma de Segurança de Identidade da CyberArk, criando uma defesa robusta em duas camadas.

• Camada 1: Neutralizando o Bypass de MFA com MFA Adaptativo: O ataque de MFA fatigue é uma forma de força bruta psicológica que aposta na falibilidade humana. O MFA Adaptativo da CyberArk combate essa tática com inteligência contextual automatizada.
  
  Em vez de simplesmente enviar um prompt de “Aprovar/Negar”, a solução analisa o contexto de cada tentativa de login: geolocalização, dispositivo, endereço IP, horário e comportamento histórico do usuário.
  
  Se uma tentativa de login for anômala como um acesso de um país desconhecido para um usuário que nunca viajou, o sistema pode automaticamente bloquear o acesso ou exigir um fator de autenticação mais forte e à prova de phishing, como uma chave de segurança FIDO2, que o atacante não possui.
  
  Isso remove o humano da equação de decisão sob pressão, substituindo seu julgamento falível pela análise de risco inflexível da máquina.
  
• Camada 2: Prevenindo o Roubo de Credenciais com PAM: A defesa mais eficaz é impedir que as credenciais sejam roubadas em primeiro lugar.
  
  Com a solução de Gerenciamento de Acessos Privilegiados (PAM) da CyberArk, as senhas de contas críticas (administradores, contas de serviço) são removidas do conhecimento dos usuários e armazenadas em um cofre digital seguro.
  
  O acesso a esses sistemas é concedido de forma temporária (just-in-time), e cada sessão é isolada, monitorada e gravada. Isso não apenas impede o roubo de credenciais, mas também bloqueia a movimentação lateral, pois mesmo que um atacante comprometa uma máquina, ele não encontrará credenciais para roubar e usar em outros sistemas.

De elo mais fraco a elo fortalecido

A ascensão de ameaças como o Scattered Spider é um chamado à ação. Fica claro que o perímetro de segurança moderno não é mais a rede, mas a identidade de cada usuário. A defesa, portanto, não pode mais ser uma coleção de ferramentas isoladas; ela precisa ser uma estratégia integrada e inteligente, centrada na governança e proteção de identidades.

Tecnologias como SailPoint e CyberArk fornecem os controles necessários, mas seu verdadeiro poder só é desbloqueado quando orquestrado por uma camada de inteligência humana e expertise local. 

É aqui que a Asper, através de seu Cyber Fusion Center, atua como um verdadeiro Trust Advisor. Não se trata apenas de monitorar alertas, mas de correlacionar inteligência, contextualizar ameaças para o cenário brasileiro e garantir uma resposta eficaz que une tecnologia, processos e pessoas.

Sua organização está preparada para a ameaça que reside dentro de suas próprias linhas?

Fale com nossos especialistas e descubra como a abordagem proativa da Asper pode transformar seu maior risco, o fator humano, em sua linha de defesa mais forte.