Por Paolo Passeri, diretor de Inteligência Cibernética na Netskope 

A recente onda de ataques a varejistas do Reino Unido, atribuída ao grupo Scattered Spider, revelou a crescente sofisticação das campanhas de engenharia social. Esses ataques agora têm como alvo organizações em diversos níveis, infiltrando-se por meio de funcionários e fornecedores, com consequências potencialmente devastadoras para as entidades afetadas. 

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link
• Assine nossa newsletter neste link.

As campanhas recentes do Scattered Spider destacam especificamente os riscos representados pela engenharia social. Ativo desde pelo menos o final de 2021 e ainda em operação apesar da prisão de vários supostos membros pelas autoridades, esse grupo fez da engenharia social uma verdadeira marca registrada.  

O grupo é conhecido por adotar um amplo arsenal de técnicas para maximizar as chances de sucesso e se adaptar às características do alvo. As técnicas de engenharia social abrangem diversos vetores e mudaram à medida que o grupo evoluiu. Elas incluem troca de SIM (chip de telefonia), phishing e smishing (SMS) para coletar credenciais, personificação de fornecedores de tecnologia com foco particular em imitar Okta e outros serviços de SSO (Login Único, e é por isso que um dos pseudônimos do grupo é “Roasted 0ktapus”), exaustão de MFA para contornar a autenticação multifator, vishing (voz) e chamadas para a equipe de suporte de TI se passando por funcionários para obter redefinições de senhas, remoções de MFA ou até mesmo o registro de dispositivos não autorizados. 

Uma vez dentro do “perímetro” corporativo, que também pode incluir aplicações SaaS, os agentes da ameaça se aprofundam na organização-alvo e buscam manter sua presença instalando ferramentas legítimas (como o AnyDesk) que não geram alertas sobre ferramentas de segurança. Inicialmente focados em troca de SIM, a partir de meados de 2023, o grupo migrou progressivamente para o ransomware, firmando parcerias com diversas operações de Ransomware como Serviço, como a ALPHV/BlackCat, utilizada no ataque à MGM, e a DragonForce, utilizada em ataques no Reino Unido. 

As campanhas contra varejistas no Reino Unido também demonstram que o risco de engenharia social para as empresas se estende à cadeia de suprimentos.  

O nível geral de segurança de um sistema é tão forte quanto o de seu componente mais fraco, portanto, os invasores podem optar por explorar um elemento mais frágil do ecossistema do parceiro ou da cadeia de suprimentos, em vez de atacar diretamente a vítima final, que pode ter medidas de segurança mais robustas.  

Por exemplo, nas campanhas contra varejistas do Reino Unido, acredita-se que os invasores utilizaram credenciais comprometidas de uma empresa de terceirização de TI para se infiltrar nos varejistas. Isso explica por que atacar a cadeia de suprimentos é um ponto de entrada preferencial, já que comprometer uma única organização pode abrir caminho para múltiplos alvos de alto perfil. Essa evidência foi confirmada de forma drástica e lamentável quando, em junho de 2024, foi revelado que o grupo Scattered Spider estava conectado a uma campanha massiva de extorsão contra centenas de organizações de alto perfil em todo o mundo. O ataque foi realizado depois que os agentes da ameaça usaram credenciais comprometidas para acessar a infraestrutura de nuvem da Snowflake, comprometendo várias empresas de uma só vez. 

Mitigar ameaças 

As organizações podem adotar diversas contramedidas processuais e tecnológicas para reduzir a superfície de ataque da engenharia social. A educação tem um papel crucial, por isso é fundamental treinar tanto a equipe de help desk quanto os funcionários para que reconheçam técnicas comuns de engenharia social, incluindo phishing, smishing, vishing e fadiga de MFA. 

O perímetro corporativo agora se estende além dos limites físicos da empresa, portanto, é preciso garantir a capacidade de escanear o tráfego da web e da nuvem para mitigar o risco de ataques de phishing, downloads de malware, comando e controle e tráfego de exfiltração de dados. A adoção de uma arquitetura de Security Services Edge (SSE) que forneça um modelo de segurança abrangente fornecido pela nuvem permitirá a proteção dos usuários de qualquer dispositivo e em qualquer local. 

Com esse perímetro expandido, a adoção de ferramentas de Isolamento Remoto de Navegador (RBI) oferece controle granular sobre quais atividades os usuários podem realizar dentro de uma página da web, aplicando políticas de segurança mais rígidas em páginas não autorizadas, como domínios não categorizados ou domínios recém-registrados ou recentemente observados. As políticas aplicáveis ​​podem incluir permitir o acesso apenas em modo somente leitura, impedir o envio de credenciais corporativas e bloquear uploads e downloads de dados corporativos. 

Do ponto de vista do processo, as empresas devem implementar protocolos de verificação rigorosos que não dependam de informações publicamente disponíveis. Também devem adotar um paradigma de acesso de zero trust para segmentar as redes no nível da aplicação e garantir que cada usuário possa acessar apenas os recursos aos quais tem direito, após uma verificação contínua da postura de segurança. As Ferramentas de Anomalia de Comportamento de Usuário e Entidade (UEBA) podem ser usadas para identificar usuários com dispositivos e contas comprometidos, frequentemente integradas a tecnologias de IA e ML para identificar tendências e padrões e tomar medidas proativas para evitar novas invasões ou perdas de dados. 

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.