A recente onda de ataques a varejistas do Reino Unido, atribuída ao grupo Scattered Spider, revelou a crescente sofisticação das campanhas de engenharia social. Esses ataques agora têm como alvo organizações em diversos níveis, infiltrando-se por meio de funcionários e fornecedores, com consequências potencialmente devastadoras para as entidades afetadas.

As campanhas recentes do Scattered Spider destacam especificamente os riscos representados pela engenharia social. Ativo desde pelo menos o final de 2021 e ainda em operação, apesar da prisão de vários supostos membros pelas autoridades, esse grupo fez da engenharia social uma verdadeira marca registrada.

O grupo é conhecido por adotar um amplo arsenal de técnicas para maximizar as chances de sucesso e se adaptar às características do alvo. As técnicas de engenharia social abrangem diversos vetores e mudaram à medida que o grupo evoluiu. Elas incluem troca de SIM (chip de telefonia), phishing e smishing (SMS) para coletar credenciais, personificação de fornecedores de tecnologia com foco particular em imitar Okta e outros serviços de SSO (Login Único, e é por isso que um dos pseudônimos do grupo é "Roasted 0ktapus"), exaustão de MFA para contornar a autenticação multifator, vishing (voz) e chamadas para a equipe de suporte de TI se passando por funcionários para obter redefinições de senhas, remoções de MFA ou até mesmo o registro de dispositivos não autorizados.

Uma vez dentro do "perímetro" corporativo, que também pode incluir aplicações SaaS, os agentes da ameaça se aprofundam na organização-alvo e buscam manter sua presença instalando ferramentas legítimas (como o AnyDesk) que não geram alertas sobre ferramentas de segurança. Inicialmente focados em troca de SIM, a partir de meados de 2023, o grupo migrou progressivamente para o ransomware, firmando parcerias com diversas operações de Ransomware como Serviço, como a ALPHV/BlackCat, utilizada no ataque à MGM, e a DragonForce, utilizada em ataques no Reino Unido.

As campanhas contra varejistas no Reino Unido também demonstram que o risco de engenharia social para as empresas se estende à cadeia de suprimentos.

O nível geral de segurança de um sistema é tão forte quanto o de seu componente mais fraco; portanto, os invasores podem optar por explorar um elemento mais frágil do ecossistema do parceiro ou da cadeia de suprimentos, em vez de atacar diretamente a vítima final, que pode ter medidas de segurança mais robustas.

Por exemplo, nas campanhas contra varejistas do Reino Unido, acredita-se que os invasores utilizaram credenciais comprometidas de uma empresa de terceirização de TI para se infiltrar nos varejistas. Isso explica por que atacar a cadeia de suprimentos é um ponto de entrada preferencial, já que comprometer uma única organização pode abrir caminho para múltiplos alvos de alto perfil. Essa evidência foi confirmada de forma drástica e lamentável quando, em junho de 2024, foi revelado que o grupo Scattered Spider estava conectado a uma campanha massiva de extorsão contra centenas de organizações de alto perfil em todo o mundo. O ataque foi realizado depois que os agentes da ameaça usaram credenciais comprometidas para acessar a infraestrutura de nuvem da Snowflake, comprometendo várias empresas de uma só vez.

Mitigar ameaças

As organizações podem adotar diversas contramedidas processuais e tecnológicas para reduzir a superfície de ataque da engenharia social. A educação tem um papel crucial; por isso, é fundamental treinar tanto a equipe de help desk quanto os funcionários para que reconheçam técnicas comuns de engenharia social, incluindo phishing, smishing, vishing e fadiga de MFA.

O perímetro corporativo agora se estende além dos limites físicos da empresa; portanto, é preciso garantir a capacidade de escanear o tráfego da web e da nuvem para mitigar o risco de ataques de phishing, downloads de malware, comando e controle e tráfego de exfiltração de dados. A adoção de uma arquitetura de Security Services Edge (SSE) que forneça um modelo de segurança abrangente fornecido pela nuvem permitirá a proteção dos usuários de qualquer dispositivo e em qualquer local.

Com esse perímetro expandido, a adoção de ferramentas de Isolamento Remoto de Navegador (RBI) oferece controle granular sobre quais atividades os usuários podem realizar dentro de uma página da web, aplicando políticas de segurança mais rígidas em páginas não autorizadas, como domínios não categorizados ou domínios recém-registrados ou recentemente observados. As políticas aplicáveis podem incluir permitir o acesso apenas em modo somente leitura, impedir o envio de credenciais corporativas e bloquear uploads e downloads de dados corporativos.

Do ponto de vista do processo, as empresas devem implementar protocolos de verificação rigorosos que não dependam de informações publicamente disponíveis. Também devem adotar um paradigma de acesso de zero trust para segmentar as redes no nível da aplicação e garantir que cada usuário possa acessar apenas os recursos aos quais tem direito, após uma verificação contínua da postura de segurança. As Ferramentas de Anomalia de Comportamento de Usuário e Entidade (UEBA) podem ser usadas para identificar usuários com dispositivos e contas comprometidos, frequentemente integradas a tecnologias de IA e ML para identificar tendências e padrões e tomar medidas proativas para evitar novas invasões ou perdas de dados.

Barreira de defesa

Se a recente onda de ataques do Scattered Spider nos mostrou alguma coisa, foi a sofisticação de grupos de invasores superorganizados, o profundo conhecimento de seus alvos e das pessoas dentro dessas organizações, e a capacidade de manipular a confiança para obter acesso. Precisamos aprender com esses ataques para ajudar nossas equipes a se tornarem uma primeira linha de defesa resiliente e, em seguida, apoiá-los com tecnologias e ferramentas robustas para identificar e bloquear esses ataques. Dessa forma, podemos criar uma resistência ao ataque inicial e acelerar a recuperação se e quando um invasor conseguir avançar nesta etapa.