# Scattered Spider > [!warning] Resumo Executivo > Coletivo de jovens hackers anglofones (EUA e Reino Unido) especializado em engenharia social avancada e bypass de MFA. Responsavel pelos ataques a MGM Resorts (US$ 100M em perdas, acordo de US$ 45M) e Caesars Entertainment (US$ 15M em resgaté), e pelos ataques ao varejo britanico em 2025 (M&S: 300M libras em prejuizos). Opera como Initial Access Broker (IAB) para grupos como [[blackcat|ALPHV/BlackCat]], [[dragonforce-ransomware|DragonForce]] e [[s1212-ransomhub|RansomHub]]. Multiplos membros presos em 2024-2025. ## Visão Geral **Scattered Spider** (também rastreado como **UNC3944**, **Octo Tempest**, **Storm-0875**, **Muddled Libra** e **0ktapus**) e um coletivo cibercriminoso composto majoritariamente por **adolescentes e jovens adultos nos EUA e Reino Unido**. O grupo e afiliado a rede criminosa **"The Com"** (específicamente o Hacker Com) e ganhou notoriedade pelos ataques a grandes cassinos americanos em 2023. O Scattered Spider se diferencia por sua **fluencia nativa em ingles** - um ativo critico em ataques de engenharia social que fingem ser suporte tecnico de TI - e pela **profundidade no conhecimento de plataformas cloud** (Microsoft Azure, AWS, Google Workspace, Okta). O grupo e descrito pelo CTO da Mandiant como "um dos atores de ameaça mais prevalentes e agressivos afetando organizacoes nos EUA hoje". Em **2025**, o grupo consolidou parcerias com [[dragonforce-ransomware|DragonForce]] atuando como **Initial Access Broker (IAB)** nos ataques ao varejo britanico. Ha indicios de fusao parcial com o grupo **ShinyHunters**, com ambos operando canais Telegram conjuntos desde agosto de 2025. ## Timeline de Atividade e Prisoes ```mermaid timeline title Scattered Spider - Cronologia May 2022 : Fundacao do grupo : Foco inicial em telecomúnicacoes : SIM swap e phishing SMS/Telegram 2022-2023 : Expansao setorial : BPO, gaming, hotelaria, financeiro : Parcerias ALPHV/BlackCat Sep 2023 : Caesars Entertainment : Resgaté US$ 15M pago : MGM Resorts - US$ 100M em perdas Ján 2024 : Noah Urban preso na Florida : SIM swap, US$ 800K em cripto Jun 2024 : Tyler Buchanan preso na Espanha : Lider do grupo - 27M em Bitcoin Jul 2024 : Menor preso em Walsall UK : Relacionado ao hack MGM Nov 2024 : Remington Ogletree preso : 5 membros indiciados no total Apr 2025 : Ataques UK Retail : M&S - 300M libras em prejuizos : Co-op, Harrods - via DragonForce Ján 2025 : MGM paga US$ 45M em acordo Sep 2025 : Menor se entrega em Las Vegas : Fusao parcial com ShinyHunters ``` ## Attack Flow - Engenharia Social Avancada ```mermaid graph TB A["🔎 Reconhecimento<br/>T1589 LinkedIn + OSINT<br/>T1585.001 Contas sociais"] --> B["📞 Engenharia Social<br/>T1598 Vishing helpdesk<br/>Personificacao de TI"] B --> C["🔑 Bypass MFA<br/>T1539 Cookie theft<br/>SIM swap + MFA fatigue"] C --> D["☁️ Acesso Cloud Admin<br/>T1078 Okta/AWS/Azure<br/>T1556.009 Conditional Access"] D --> E["📧 Persistência<br/>T1114.003 Email forward<br/>T1564.008 Email hide rules"] E --> F["💾 Coleta e Exfiltração<br/>T1580 Cloud infra<br/>T1538 Cloud dashboard"] F --> G["💣 Deploy Ransomware<br/>BlackCat / DragonForce<br/>T1486 Extorsao"] style A fill:#2e4057,color:#fff style B fill:#e74c3c,color:#fff style C fill:#e67e22,color:#fff style D fill:#2980b9,color:#fff style E fill:#16a085,color:#fff style F fill:#6c3483,color:#fff style G fill:#7b241c,color:#fff ``` ## Campanhas Recentes | Campanha | Data | Vitima | Impacto | |----------|------|--------|---------| | Caesars Entertainment | Set 2023 | Cassino EUA | US$ 15M em resgaté pago | | MGM Resorts | Set 2023 | Cassino EUA | US$ 100M em perdas; outage de 36h; acordo US$ 45M | | Snowflake Customers | 2024 | Multiplas empresas | Comprometimento de dados cloud | | Marks & Spencer | Abr 2025 | Varejo UK | 300M libras em prejuizos; compras online offline | | Co-op | Abr 2025 | Varejo UK | 107M libras em prejuizos | | Harrods | Abr 2025 | Varejo UK | Interrupcao operacional | | Qantas | 2025 | Aviacao Australia | Comprometimento confirmado | | Visa, PNC, Transamerica | 2024 | Financeiro EUA | Campanhas de phishing confirmadas | ## Arsenal Tecnico | Ferramenta/TTP | Uso | |----------------|-----| | Vishing (ligacao para helpdesk) | Engenharia social para obter credenciais sem hacking tecnico | | SIM Swap | Compromete MFA baseado em SMS para contornar autenticação | | MFA Fatigue / Push Bombing | Inunda usuario com notificacoes MFA até aceitar por erro | | Lookalike domains + phishing | Paginas falsas de login para IAM e gestao de conteudo | | [[mimikatz\|Mimikatz]] | Dump de credenciais LSASS para acesso a contas privilegiadas | | [[s0349-lazagne\|LaZagne]] | Coleta senhas armazenadas no sistema | | [[s1040-rclone\|Rclone]] | Exfiltração de dados para cloud storage | | [[blackcat\|BlackCat/ALPHV]] | Ransomware parceiro (2022-2024) | | [[dragonforce-ransomware\|DragonForce]] | Ransomware parceiro (2025+) | | [[s0508-ngrok\|ngrok]] | Tunneling para acesso remoto anonimo | | [[s0670-warzonerat\|WarzoneRAT]] | RAT para acesso persistente pos-comprometimento | | [[s1148-raccoon-stealer\|Raccoon Stealer]] | Infostealer para credenciais e cookies de sessao | ## TTPs Detalhados ### Reconhecimento e Preparação - Coleta de identidades via LinkedIn e redes sociais ([[t1589-gather-victim-identity-information|T1589]], [[t1585-001-social-media-accounts|T1585.001]]) - Criação de dominios lookalike para paginas de phishing ([[t1598-003-spearphishing-link|T1598.003]]) ### Engenharia Social e Acesso Inicial - **Vishing**: Ligacao para helpdesk de TI fingindo ser funcionario encontrado no LinkedIn - Personificacao de suporte tecnico para obter credenciais e OTPs - SIM swapping para comprometer contas com MFA por SMS - MFA push bombing / fatigue para obter aprovacao de login - Suborno a funcionarios, fornecedores e parceiros para acesso ([[t1078-valid-accounts|T1078]]) ### Comprometimento de Cloud e Identidade - Acesso administrativo ao Okta, AWS, Office 365 após bypass de MFA - Modificacao de politicas de Conditional Access ([[t1556-009-conditional-access-policies|T1556.009]]) - Regras de encaminhamento de email para monitoramento silencioso ([[t1114-003-email-forwarding-rule|T1114.003]]) - Regras de ocultacao de email para esconder alertas de segurança ([[t1564-008-email-hiding-rules|T1564.008]]) - Modificacao de trust relationships ([[t1484-002-trust-modification|T1484.002]]) ### Descoberta e Exfiltração - Acesso a dashboards de infraestrutura cloud ([[t1538-cloud-service-dashboard|T1538]]) - Descoberta de infraestrutura cloud ([[t1580-cloud-infrastructure-discovery|T1580]]) - Dump de NTDS.dit ([[t1003-003-ntds|T1003.003]]) - Roubo de cookies de sessao web ([[t1539-steal-web-session-cookie|T1539]]) ## Prisoes e Acao Legal | Membro | Data | Prisao | Alias | |--------|------|--------|-------| | Noah Michael Urban | Ján 2024 | Florida, EUA | "Sosa", "King Bob", "Elijah" | | Tyler Buchanan | Jun 2024 | Espanha | "TylerB" - lider; 27M em Bitcoin | | Menor anonimo | Jul 2024 | Walsall, Reino Unido | Relacionado ao hack MGM | | Remington Ogletree | Nov 2024 | California, EUA | Wire fraud | | Menor anonimo (2) | Set 2025 | Las Vegas, EUA | Se entregou voluntariamente | > [!info] Status Legal em 2025-2026 > Apesar de múltiplas prisoes, o grupo mantem operações ativas. Cinco membros foram indiciados nos EUA. A natureza descentralizada do coletivo e a dispersao geografica dificultam erradicacao completa. Possível fusao parcial com ShinyHunters expande o alcance operacional. ## Relevância para o Brasil e LATAM > [!warning] Risco via Cadeia de Fornecedores e Cloud > Scattered Spider representa ameaça emergente para empresas brasileiras e latino-americanas que usam soluções cloud (AWS, Azure, Microsoft 365) e provedores de servicos gerenciados (MSPs). A estratégia de engenharia social avancada e bypass de MFA torna defensas exclusivamente técnicas insuficientes. Organizacoes no [[financial|setor financeiro]], [[retail|varejo]], [[technology|TI]] e [[telecommunications|telecomúnicacoes]] no Brasil enfrentam risco elevado por: 1. **Exposicao de funcionarios via LinkedIn** - informações públicas usadas para vishing direcionado 2. **Dependência de plataformas cloud internacionais** (Okta, AWS, Azure) - vetor primario 3. **MSPs como pivot** - comprometimento de um provedor da acesso a múltiplos clientes 4. **Modelo IAB** - o grupo pode facilitar ataques de outros grupos ransomware contra alvos LATAM Recomendacoes: MFA com hardware tokens (FIDO2/passkeys), treinamento agressivo contra engenharia social, monitoramento de atividades administrativas anomalas em cloud, restricao de acesso a plataformas IAM por geolocalização. ## Detecção | Indicador | Técnica de Detecção | |-----------|---------------------| | Novo fator MFA adicionado fora do horario | Alertas SIEM para mudanças de conta | | Regras de encaminhamento de email criadas | Monitoramento de email transport rules | | Acesso ao Okta via impersonation | `User.session.impersonation` events - rarissimos | | Acesso de novo pais ou VPN anonima | Detecção de impossible travel | | Dump de NTDS.dit | Monitoramento de acesso ao DC e processos suspeitos | | MFA push bombing | Alertas para múltiplos pushes sem aprovacao | ## Referências - [1](https://attack.mitre.org/groups/G1015/) MITRE ATT&CK - Scattered Spider (G1015) - [2](https://en.wikipedia.org/wiki/Scattered_Spider) Wikipedia - Scattered Spider (historico e prisoes) - [3](https://pushsecurity.com/blog/scattered-lapsus-hunters) Push Security - Analyzing Scattered/Lapsus$/ShinyHunters (Marco 2026) - [4](https://netwrix.com/en/resources/blog/mgm-cyber-attack/) Netwrix - MGM Cyber Attack Analysis - [5](https://www.quorumcyber.com/wp-content/uploads/2025/05/QC-DragonForce-Ransomware-Report.pdf) Quorum Cyber - Parceria Scattered Spider + DragonForce - [6](https://www.mandiant.com) Mandiant - CTO Charles Carmakal sobre UNC3944