proc-scattered-spider-social-engineering

# PROC - Scattered Spider: Vishing e MFA Fatigue ## Visão Geral O [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944, Muddled Libra, 0ktapus) e um grupo de ameaça anglofono composto principalmente por jovens de paises de lingua inglesa (EUA, Reino Unido, Canada), com idades reportadas entre 17 e 25 anos. O grupo se tornou notorio por atacar algumas das maiores corporacoes do mundo - MGM Resorts, Caesars Entertainment, Cloudflare, Twilio, e dezenas de empresas Fortune 500 - usando exclusivamente engenharia social sofisticada, sem explorar vulnerabilidades técnicas. O diferencial do Scattered Spider e a maestria em engenharia social telefonico (vishing): os membros do grupo ligam para centrais de suporte de TI se passando por funcionarios, convencem os agentes a resetar autenticadores MFA ou fornecer acesso a sistemas internos. A eficacia dessa técnica depende do alto nivel de pressão social criado durante as ligacoes - os atacantes pesquisam profundamente o alvo (LinkedIn, organograma, slang interno da empresa) para parecer totalmente convincentes. O grupo e unique no cenário de ameaças porque demonstra que, independente da maturidade técnica dos sistemas de segurança de uma organização, a camada humana continua sendo o vetor mais explorado. O ataque a MGM Resorts em setembro/2023 resultou em mais de US$100 milhões em perdas e 10 dias de interrupcao operacional nos cassinos de Las Vegas - iniciado por uma ligacao telefonica de 10 minutos. ## Attack Flow ```mermaid graph TB A["🔍 OSINT Profundo LinkedIn + Org chart + Slack leaks"] --> B["📞 Vishing para Help Desk Impersonacao de funcionario"] B --> C["🔓 Reset de MFA / Okta Engenharia social bem-sucedida"] C --> D["☁️ Acesso Cloud Azure AD / Okta / AWS console"] D --> E["📧 SIM Swap ou Phishing SMS MFA fatigue em contas restantes"] E --> F["🔑 Escalada para Admin Cloud Comprometimento de tenant inteiro"] F --> G["💀 Ransom ou Extorsao ALPHV/ransomware ou exfiltração"] ``` ## Passo a Passo ### Fase 1 - OSINT e Preparação da Identidade Falsa Antes de qualquer contato com a vitima, o grupo realiza reconhecimento extensivo para construir uma identidade falsa convincente ([[t1598-phishing-for-information|T1598]]): - **LinkedIn:** Identificar o nome de um funcionario real da empresa, seu cargo, departamento, gerente direto e colegas de equipe - **OSINT adicional:** Perfis em redes sociais, comentarios em GitHub/Reddit que revelem jargao tecnico interno - **Dumps de dados:** Verificar em haveibeenpwned e dumps underground se o funcionario impersonado teve dados vazados anteriormente (email, senha, telefone) - **Engenharia reversa de processos:** Ligacoes de "teste" anonimas para o help desk para entender o fluxo de verificação de identidade Com essas informações, o atacante pode responder convincentemente a perguntas de verificação como: "Qual o nome do seu gerente?", "Em qual departamento voce trabalha?", "Qual e seu ID de funcionario?" - dados todos disponiveis públicamente no LinkedIn. ### Fase 2 - Vishing para Help Desk / Suporte TI O atacante liga para a central de suporte de TI da empresa, geralmente disponiveis públicamente no site corporativo ([[t1566-004-spearphishing-voice|T1566.004]]). A ligacao segue um roteiro testado: ``` Atacante: "Ola, sou [nome_real_funcionario] do departamento de [departamento]. Meu celular caiu e perdi o acesso ao meu autenticador. Estou em reuniao importante e preciso acessar o sistema urgente." Agente: "Preciso verificar sua identidade. Qual e seu ID?" Atacante: "[ID obtido via OSINT]" Agente: "Perfeito. Vou enviar um código para seu email corporativo." Atacante: "Na verdade, não tenho acesso ao email agora, por isso estou ligando. Meu gerente [nome_real_gerente] pode confirmar. Voce pode resetar meu Okta diretamente?" ``` O grupo treina específicamente para criar urgencia e pressão emocional, que reduzem a capacidade critica dos agentes de suporte de identificar inconsistencias. ### Fase 3 - MFA Fatigue como Técnica Complementar Em paralelo ou sequencialmente ao vishing, o grupo usa **MFA fatigue** (bombardeio de notificacoes de autenticação) ([[t1621-multi-factor-authentication-request-generation|T1621]]): com a senha obtida via phishing ou comprada, o atacante tenta login repetidamente, gerando dezenas de notificacoes push no celular do usuario real. O objetivo e que o usuario, exausto e confuso, aprove uma das notificacoes. ``` [Notificação 1] "Aprovacao de login - Nova York - 03:47" → Ignorada [Notificação 2] "Aprovacao de login - Nova York - 03:48" → Ignorada [Notificação 3] "Aprovacao de login - Nova York - 03:49" → Ignorada [...] [Notificação 23] "Aprovacao de login - Nova York - 04:12" → APROVADA (usuario cansado) ``` O grupo também liga para a vitima real se passando por suporte de TI, avisando sobre "tentativas de login suspeitas" e pedindo para o usuario "aprovar a notificação legitima de segurança" - na verdade, aprovando o acesso do atacante. ### Fase 4 - Acesso ao Ambiente Cloud Com credenciais e MFA comprometidos, o grupo acessa o ambiente cloud (geralmente Okta, Azure AD, Google Workspace) da organização vitima. A partir do Okta comprometido, o alcance e total: o atacante pode criar novos usuarios administrativos, resetar senhas de qualquer conta, e acessar todos os sistemas SSO-integrados. ``` Okta admin comprometido → reset de todas as contas administrativas → Acesso a Azure AD → Global Admin → Acesso a AWS via federation → AdministratorAccess → Acesso a Salesforce, ServiceNow, Workday via SSO → Exfiltração de dados de todos os sistemas ``` ### Fase 5 - Deploy de Ransomware ou Extorsao Direta Em varios casos documentados, o Scattered Spider parceria com o grupo [[BlackCat]] para o deploy de ransomware na fase final. Em outros casos (como Caesars Entertainment), o grupo exige pagamento direto sem criptografar dados - apenas com ameaça de públicar dados exfiltrados. O grupo usa canais Telegram para comunicação com vitimas e aceita apenas criptomoedas. Valores de resgate documentados variam de US$1 milhao a US$30 milhões. ## TTPs Mapeados | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Reconhecimento | [[t1598-phishing-for-information\|T1598]] | OSINT em LinkedIn e redes sociais | | Acesso Inicial | [[t1566-004-spearphishing-voice\|T1566.004]] | Vishing para help desk de TI | | Acesso Inicial | [[t1621-multi-factor-authentication-request-generation\|T1621]] | MFA fatigue via push bombing | | Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legitimas comprometidas | | Persistência | [[t1556-006-multi-factor-authentication\|T1556.006]] | Modificacao de métodos MFA registrados | | Escalada | [[t1098-001-additional-cloud-credentials\|T1098.001]] | Criação de admins cloud adicionais | | Exfiltração | [[t1530-data-from-cloud-storage\|T1530]] | Dump de dados de storage cloud | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware via parceria ALPHV | | Impacto | [[t1657-financial-theft\|T1657]] | Extorsao direta com ameaça de leak | ## Detecção **A detecção do Scattered Spider e fundamentalmente um problema de processo, não de tecnologia.** | Indicador | Severidade | Acao | |-----------|-----------|------| | > 10 notificacoes MFA push em < 30 min para um usuario | Critica | Bloquear conta + alertar usuario por canal alternativo | | Reset de MFA por help desk para admin cloud | Critica | Requer aprovacao de 2 admins + callback verificado | | Novo dispositivo MFA registrado após ligacao de suporte | Alta | Notificação ao usuario real + período de quarentena | | Login de admin cloud de país não-habitual | Alta | Block geográfico + revisão manual | | Okta admin session sem MFA forte (FIDO2) | Alta | Forcar re-autenticação phishing-resistant | | Criação de novo Global Admin em < 1h após login | Critica | Alerta imediato + suspensao automatica | **Controle preventivo mais eficaz:** Substituir MFA por push notifications por **FIDO2/passkeys** (WebAuthn) - resistente tanto a phishing quanto a MFA fatigue. O Scattered Spider não tem contra-medida conhecida contra FIDO2 hardware keys. ## Contexto Brasil/LATAM O Scattered Spider opera primariamente em ingles e tem historico de alvos norte-americanos e britanicos. No entanto, sua métodologia de engenharia social e completamente transferivel para o contexto brasileiro, e grupos locais já adotam técnicas similares de vishing contra centrais de suporte de bancos e empresas de tecnologia brasileiras. O Brasil registra alto volume de fraudes por engenharia social telefonica - golpes de "falso suporte tecnico" e "falso funcionario bancario" sao endemicos e cada vez mais sofisticados. A diferenca para o nivel do Scattered Spider e o alvo (consumidores finais vs corporacoes de grande porte) e o nivel de preparação OSINT, mas a métodologia base e identica. Organizações brasileiras com ambientes cloud Okta/Azure AD devem considerar os procedimentos do Scattered Spider como referência para seus programas de treinamento de help desk. A resistencia a ataques de engenharia social requer procedimentos rigorosos de verificação de identidade que não possam ser bypassados por pressão social - independente do nivel de urgencia comúnicado pelo chamador. ## Referências - [CISA Advisory AA23-243A — Scattered Spider](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-243a) - [CrowdStrike — Scattered Spider/Muddled Libra Profile](https://www.crowdstrike.com/blog/muddled-libra-scattered-spider-profile/) - [Palo Alto Unit42 — Muddled Libra Technical Analysis](https://unit42.paloaltonetworks.com/muddled-libra/) - [MGM Resorts Incident Post-Mortem](https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/) - [CISA — Phishing-Resistant MFA Guidance](https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf)