Novos grupos criminosos adotam táticas do Scattered Spider para ataques de extorsão em larga escala

Grupos criminosos aceleram ataques inspirados no Scattered Spider

Dois novos grupos de cibercriminosos, afiliados ao coletivo The Com, estão realizando ataques coordenados contra organizações de infraestrutura crítica nos Estados Unidos. Segundo a CrowdStrike, as gangues — identificadas como Cordial Spider e Snarky Spider — utilizam técnicas avançadas de engenharia social e phishing para invadir sistemas e roubar dados com o objetivo de extorquir vítimas.

Alvos estratégicos e métodos de invasão

A CrowdStrike revelou que os ataques começaram em outubro de 2025 e visam principalmente organizações nos setores acadêmico, aviação, varejo, hospitalidade, automotivo, serviços financeiros, jurídico e de tecnologia. Os grupos são compostos por falantes nativos de inglês e operam com foco em empresas norte-americanas.

Os criminosos utilizam voice-phishing, mensagens de texto e e-mails falsos para enganar funcionários, direcionando-os a páginas de login falsas que imitam os sistemas legítimos de autenticação única (SSO) ou provedores de identidade das empresas. Essas páginas capturam credenciais, chaves de sessão ou tokens, permitindo que os invasores acessem sistemas críticos e se movam livremente pelos ecossistemas de SaaS das vítimas.

Táticas agressivas e evasão de detecção

Após obter acesso inicial, os atacantes removem dispositivos de autenticação multifator, excluem e-mails e alertas que poderiam denunciar atividades suspeitas. Em seguida, realizam roubos de dados para extorsão, com demandas que, segundo a Unit 42 da Palo Alto Networks, frequentemente ultrapassam sete dígitos.

Os grupos também empregam redes de proxies residenciais — como Mullvad, Oxylabs, NetNut, 9Proxy, Infatica e NSOCKS — para evitar detecções baseadas em IP e se misturar ao tráfego legítimo. Essas redes, embora tenham usos legítimos, são frequentemente exploradas por criminosos para ocultar suas operações.

Diferenças entre os grupos e consequências dos ataques

A CrowdStrike destacou que, embora os ataques tenham semelhanças, as táticas, técnicas e procedimentos (TTPs) de cada grupo apresentam variações significativas, como:

• Horários de operação distintos;
• Provedores de domínios de phishing diferentes;
• Sistemas operacionais preferidos;
• Sites de vazamento de dados próprios;
• Ferramentas ou dispositivos usados para registrar autenticação multifator.

O site de vazamento de dados BlackFile, associado ao Cordial Spider, já estava offline na quarta-feira, segundo Adam Meyers, vice-presidente sênior de operações contra adversários da CrowdStrike. Além das extorsões, algumas vítimas que se recusaram a pagar foram alvo de ataques de DDoS, enquanto o Snarky Spider adotou táticas ainda mais agressivas, como swatting contra funcionários das empresas vitimadas.

Conexões com outros grupos criminosos

Os novos grupos estão alinhados com o Scattered Spider e vinculados a outros subgrupos do The Com, incluindo SLSH e ShinyHunters. Pesquisas recentes da Unit 42 e do Retail Hospitality Information Sharing and Analysis Center já haviam documentado uma série de ataques do Cordial Spider contra empresas do setor de varejo e hospitalidade.

Devido à complexidade dos ataques, que exploram sistemas de identidade e acessam dados em serviços conectados além do ponto inicial de invasão, é difícil determinar o número exato de vítimas afetadas por essas campanhas.

“Esses grupos representam uma nova onda de ameaças cibernéticas voltadas para o crime financeiro, com táticas cada vez mais sofisticadas e impactos devastadores para as organizações.” — Adam Meyers, CrowdStrike.