Scattered Spider

No terceiro trimestre de 2025, a atividade de ransomware atingiu níveis recordes, impulsionada pelo anúncio da plataforma RaaS (Ransomware as a Service) da Scattered Spider e o retorno do LockBit com a versão 5.0, que agora visa explicitamente a infraestrutura crítica. O número de sites ativos de vazamento de dados subiu para 81, com novos grupos emergindo em diversas regiões e setores, apesar do número total de organizações listadas permanecer estável em relação ao segundo trimestre. A Scattered Spider, conhecida por suas táticas de engenharia social, está se preparando para lançar sua plataforma ShinySp1d3r, prometendo uma integração eficiente de exfiltração de dados e criptografia de arquivos. Por outro lado, o LockBit 5.0 permite que seus afiliados ataquem infraestrutura crítica, refletindo uma mudança significativa em sua estratégia após ações de aplicação da lei. O setor de saúde e serviços técnicos viu um aumento nas exposições, enquanto setores como manufatura e construção enfrentaram quedas. A combinação de táticas de extorsão dupla e ataques a sistemas operacionais industriais representa uma ameaça crescente, exigindo que as organizações adotem medidas rigorosas de segurança, como segmentação de rede e monitoramento de sites de vazamento.

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores de segurança da DomainTools identificaram uma nova onda de infraestrutura maliciosa associada ao ator de ameaça PoisonSeed, com 21 domínios registrados desde 1º de junho de 2025. A campanha visa principalmente clientes do SendGrid e ambientes empresariais, representando uma continuação das operações de phishing sofisticadas semelhantes ao grupo de cibercrime SCATTERED SPIDER. Os domínios recém-descobertos seguem as táticas, técnicas e procedimentos (TTPs) estabelecidos pelo PoisonSeed, utilizando intersticiais de CAPTCHA falsos da Cloudflare para adicionar legitimidade antes de redirecionar as vítimas para páginas de coleta de credenciais. Os pesquisadores observaram que esses domínios maliciosos exibem dados falsificados de Ray ID da Cloudflare, imitando processos de verificação de segurança legítimos. A infraestrutura maliciosa demonstra padrões de registro e hospedagem consistentes com campanhas anteriores do PoisonSeed, sendo todos os domínios registrados através do NiceNIC International Group Co. e hospedados em endereços IP específicos. A análise sugere que as operações do PoisonSeed podem estar conectadas ao coletivo de cibercrime “The Com”, que inclui jovens envolvidos em ataques motivados financeiramente desde 2022. Organizações que utilizam SendGrid devem implementar monitoramento aprimorado para solicitações de autenticação suspeitas e verificar comunicações através de canais oficiais antes de fornecer credenciais.

À medida que as empresas transferem suas operações para navegadores, os desafios de segurança cibernética aumentam. Um estudo recente revela que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas por navegadores como Chrome, Edge e Firefox. O grupo de hackers conhecido como Scattered Spider, também chamado de UNC3944, tem se destacado por sua abordagem focada em roubar dados sensíveis diretamente dos navegadores. Suas táticas incluem a exploração de credenciais salvas, manipulação do ambiente do navegador e uso de técnicas avançadas como injeção de JavaScript e extensões maliciosas. Para combater essas ameaças, os CISOs devem adotar uma estratégia de segurança em múltiplas camadas, que inclui proteção contra roubo de credenciais, governança de extensões e monitoramento de atividades no navegador. O artigo serve como um alerta para que os líderes de segurança elevem a segurança do navegador a um pilar central de defesa, considerando a crescente sofisticação dos ataques cibernéticos.