Como passageiro frequente da Qantas e profissional de segurança cibernética baseado em Sydney, senti pessoalmente o impacto da violação de dados da companhia aérea em junho de 2025. A violação foi resultado de invasores que acessaram uma plataforma de atendimento ao cliente de terceiros, operada por um call center no exterior, e expuseram dados pessoais de aproximadamente 5.7 milhões de clientes. eu mesmo incluído. Embora a violação não tenha ameaçado diretamente uma perda financeira iminente, ela aumenta significativamente o risco de ataques secundários usando os dados pessoais vazados.
A violação não mostrou sinais de ransomware ou cargas úteis sofisticadas. Em vez disso, trazia as marcas registradas de Aranha Espalhada, um grupo de ameaças que depende de engenharia social, abuso de credenciais legítimas e movimento lateral por meio de protocolos que escapam aos controles de segurança tradicionais.
Este incidente é mais uma prova de que a identidade se tornou um dos principais vetores de ataque, especialmente nos ambientes de TI híbridos que dominam Empresas australianas e sua cadeia de suprimentos. Esses ambientes combinam sistemas em nuvem, locais e operados por fornecedores, mas carecem de controle de identidade unificado, tornando a detecção e a resposta muito mais difíceis.
Neste blog, explicaremos quem é o Scattered Spider e por que a Austrália é um alvo crescente, os métodos que eles usam e por que são tão eficazes, e as medidas táticas que as equipes de segurança australianas podem tomar para prevenir e responder a ataques baseados em identidade.
Quem é a Scattered Spider e por que eles estão mirando na Austrália?
Scattered Spider (também conhecido como UNC3944, Scatter Swine, Octo Tempest, Starfraud, Muddled Libra) é um grupo de criminosos cibernéticos com motivação financeira e foco na identidade como principal vetor de ataque.
Ativo desde pelo menos 2022, segundo relatos composto principalmente por jovens falantes nativos de inglês dos EUA e do Reino UnidoO grupo Scattered Spider raramente utiliza malware ou ransomware e tem como alvo alguns dos setores mais defendidos, como serviços financeiros e jogos. Seu conjunto de ferramentas geralmente não depende de código, mas sim de truques de confiança, lacunas de protocolo e nossas premissas básicas sobre confiança.
Técnicas comuns incluem:
- Phishing, Smishing e Vishing: E-mails/SMS ou chamadas telefônicas camufladas representando a equipe de TI ou de help desk para induzir a equipe a fornecer PII, credenciais ou executar redefinições de MFA.
– Representação do Help Desk: Muitas vezes se passando por funcionários internos de TI ou de help desk para orientar os funcionários a realizar atividades inseguras, como executar ferramentas de acesso remoto ou compartilhar MFA códigos.
- fadiga MFA: Enviar spam para usuários com notificações push até que eles cliquem em “aprovar”.
– Troca de SIM: Sequestro de números de telefone para receber códigos MFA.
– Viver da terra: Usando o PowerShell, PsExec, e RDP ou utilitários comerciais de acesso remoto (como TeamViewer, Ngrok, ScreenConnect, Fleetdeck, etc.), ferramentas já disponíveis dentro de todas as empresas para se mover lateralmente e evitar a detecção.
- Comprometimento de hipervisores: Mais recentemente, os ataques escalaram além Active Directory compromisso com visando e manipulando diretamente a infraestrutura VMware ESXi, permitindo que invasores ignorem completamente certos controles, como a proteção de endpoint.
Embora seu foco inicial fosse em cassinos, seguradoras e varejistas dos EUA, em 2024-2025 eles se voltaram fortemente para a aviação, logística e infraestrutura na Austrália.
Por que a Austrália?
1. Híbrido e fragmentado generalizado infraestrutura de identidade
As empresas australianas geralmente dependem de uma combinação de soluções locais Active Directory, provedores de identidade em nuvem (por exemplo, Entra ID, Octa), plataformas SSO e ferramentas PAM. Embora cada uma proteja uma parte do ambiente, elas frequentemente operam isoladamente, resultando em lacunas de visibilidade e aplicação incompleta de controles. Isso cria condições ideais para que invasores baseados em identidade passem despercebidos.
2. Ecossistemas de identidade e TI complexos e diversos
As empresas australianas são tipicamente pioneiras na adoção de tecnologia e passaram por diversas ondas de transformação digital e terceirização para aumentar a produtividade. Com o tempo, isso levou a um ecossistema altamente interconectado de fornecedores, parceiros e contratados terceirizados, cada um exigindo acesso a diferentes partes da empresa. O resultado é um cenário de identidades em expansão, com inúmeros pontos de entrada potenciais a serem protegidos.
3. Dados de clientes de alto valor em um barril de pólvora regulatório e reputacional
As empresas australianas operam sob regulamentações de privacidade e segurança cibernética cada vez mais exigentes, incluindo a Esquema de Violações de Dados Notificáveis e a evolução dos mandatos de infraestrutura crítica. Ao mesmo tempo, armazenam vastos volumes de dados pessoais de alto valor, como registros financeiros, de saúde e de identidade, que são alvos lucrativos para extorsão, revenda ou falsificação de identidade. Essas pressões duplas tornam as violações mais danosas e as respostas mais urgentes, amplificando o impacto dos ataques baseados em identidade.
Como prevenir ameaças à identidade antes que elas comecem
1. Reforce o help desk, mas não confie demais nele
Problema: A Aranha Dispersa geralmente obtém acesso inicial por meio de engenharia social, visando seres humanos reais. Isso é especialmente importante eficaz em ambientes de help desk, onde a equipe está sob pressão para resolver problemas rapidamente e manter a alta satisfação do cliente. Esses ataques exploram a confiança e o julgamento humano, tornando-os difíceis de prevenir de forma consistente.
Solução: Os procedimentos do help desk devem ser reforçados e revisados regularmente, mas os controles devem se estender além do acesso inicial. Atacantes como o Scattered Spider exploram modelos de confiança legados que presumem que qualquer coisa dentro do perímetro é legítima. Segmentação na camada de identidade, especialmente em Active Directory, é fundamental para retardar os ataques e limitar o raio de ação. Identidades privilegiadas devem ser bloqueadas para acessar ambientes não privilegiados (e vice-versa), e fornecedores terceirizados devem acessar apenas o que precisam. Um modelo de hierarquização pode separar ainda mais identidades e sistemas por criticidade e risco para o negócio.
2. Fechar lacunas de MFA em protocolos legados
Problema: Protocolos como NTLM, LDAP e SMB não oferecem suporte nativo a MFA, e os invasores sabem disso. Essas lacunas são frequentemente exploradas para contornar os controles de acesso modernos.
Solução:Prolongar a aplicação do MFA para cobrir tudo Active Directory protocolos, incluindo os legados, para garantir que invasores não consigam contornar as proteções. Embora eliminar completamente esses protocolos vulneráveis nem sempre seja viável, restringir seu uso apenas aos sistemas que realmente os exigem é prático e impactante.
3. Implementar proteção contra phishing autenticação métodos (por exemplo, chaves de acesso e FIDO2)
Problema: A MFA baseada em SMS e a fadiga de push são facilmente contornadas com engenharia social ou troca de SIM.
Solução: Adote métodos resistentes a phishing como Chaves de hardware FIDO2 ou chaves de acesso de plataforma para usuários privilegiados e sistemas críticos. Elas fornecem prova criptográfica de posse e não podem ser roubadas ou reproduzidas.
4. Detecte e bloqueie o movimento lateral em tempo real
Problema: Após o acesso inicial, os invasores “vivem da terra” usando RDP, PowerShell e credenciais legítimas que não são detectadas na maioria dos ambientes híbridos.
Solução: Monitore continuamente os fluxos de autenticação na infraestrutura de identidade local e na nuvem para identificar padrões de movimento incomuns entre sistemas e acionar MFA em linha ou negar acesso antes que o invasor aumente os privilégios.
5. Proteger identidades não humanas
Problema: Essas contas geralmente são numerosas, altamente privilegiadas, invisíveis nas operações do dia a dia e mal protegidas, o que as torna vetores de ataque ou alvos ideais para abuso.
Solução: Comece por estabelecer um inventário abrangente de identidades não humanas, incluindo contas de serviço, credenciais de automação e identidades de máquina. Monitore continuamente seu comportamento em busca de padrões de acesso incomuns, restrinja seu uso apenas ao necessário e aplique Ultimo privilégio permissões. Isso deve ser feito de forma automatizada, escalável e fundamentada no contexto operacional. Planilhas, revisões manuais e dependência do conhecimento tribal simplesmente não são escaláveis em ambientes corporativos modernos.
6. Conter rapidamente sem interromper os negócios – antes que você saiba o que está comprometido
Problema: In ataques de identidade assim como o Scattered Spider, os atrasos de resposta permitem que o invasor se mova lateralmente, desabilite o registro ou aumente os privilégios, tudo isso usando credenciais válidas.
Solução: Defina e prepare políticas de contenção com antecedência, para que possam ser ativadas instantaneamente para bloquear contas comprometidas, acionar reautenticação ou isolar sistemas específicos. Essas políticas devem ser projetadas com resiliência em mente, limitando a movimentação de invasores e minimizando o impacto nas operações comerciais. A preparação também garante que a produtividade não seja afetada em caso de violação. Considere o uso de MFA resistente a phishing como mediador e melhore a resiliência cibernética para que usuários legítimos autorizados possam continuar produtivos e prestar serviços, prejudicando a capacidade dos invasores de atingir seus objetivos.
Quando a violação acontece: resposta a incidentes que priorizam a identidade
Mesmo com as melhores defesas, o compromisso ainda pode acontecer. O que mais importa é o que você faz nas horas iniciais. Por exemplo, exigir MFA para ações de alto risco ajuda a conter ameaças sem interromper as principais operações comerciais.
Aqui está uma estrutura de resposta simplificada criada para violações baseadas em identidade:
Contenção
- Aplique políticas de negação ou MFA instantaneamente a todos os usuários
- Identificar contas comprometidas com base em violações de MFA ou acesso incomum
- Isole as máquinas onde as contas afetadas efetuaram login
Recuperacao
- Substitua gradualmente a negação por MFA para restaurar o acesso
- Reintroduzir serviços críticos em fases controladas
- Manter monitoramento elevado de contas previamente comprometidas
Correção
- Rastrear como o invasor se moveu entre os sistemas usando registros de autenticação e identificar as fraquezas de identidade específicas (como configurações incorretas ou privilégios excessivos) que permitiram essa movimentação
- Use esses insights para fortalecer o engajamento de longo prazo postura de segurança de identidade
Considerações finais: a Austrália pode liderar em resiliência de identidade
O incidente com a Qantas não foi um caso isolado. Foi um sinal de alerta de que ataques baseados em identidade, como os usados pelo Scattered Spider, estão aqui, ativos e evoluindo.
Como cidadão local atingido pelo raio da explosão, acredito que podemos enfrentar este momento com urgência e confiança. A infraestrutura de identidade híbrida e o ecossistema de TI da Austrália são complexos, mas com o plano certo, essa complexidade pode ser protegida, monitorada e controlada.
MFA resistente a phishing e políticas de acesso bem definidas em todos os pontos de acesso, incluindo protocolos legados, limitação de acesso com base no menor privilégio e criticidade empresarial, e resposta a incidentes com foco na identidade podem conter ameaças rapidamente, mantendo as operações empresariais em execução.
A Austrália não precisa esperar por outra violação para agir. Nós podemos liderar.
Para saber mais sobre como criar um manual de resposta a incidentes contra grupos de ameaças como o Scattered Spider, convido você a assista a este webinar sob demanda.
