Check Point Alerta Para Nova Vaga de Ataques Sofisticados: Scattered Spider Aponta Agora à Aviação

Press Release: Investigadores da Check Point associam o grupo Scattered Spider à mais recente vaga de ataques ao retalho e à aviação, alertando para uma nova geração de ciberameaças baseadas em engenharia social e domínios de phishing.

Desde o início do ano que temos assistido a uma forte campanha de ataques ao setor do retalho no Reino Unido, atribuída ao grupo de ransomware DragonForce – responsável pela fase de extorsão e pela divulgação dos dados roubados.

Contudo, a Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, acredita que o grupo Scattered Spider poderá ter desempenhado o papel de access broker ou colaborador direto, facilitando o acesso inicial às infraestruturas comprometidas.

Esta suspeita baseia-se nas táticas agressivas de engenharia social usadas por este grupo, as quais estão agora a ser replicadas na recente vaga de ataques a companhias aéreas, através da criação de domínios de phishing que simulam portais empresariais legítimos, com o intuito de enganar colaboradores e obter credenciais de acesso.

Este novo modelo de ameaça reflete uma mudança significativa no ecossistema do ransomware, em que operadores de acesso, programadores de malware e agentes de extorsão colaboram de forma descentralizada – frequentemente recorrendo a infraestruturas de marca branca – e sem assumir coautoria nos ataques.

Ameaças recentes à aviação associadas ao grupo

Nos últimos meses, foram registados vários ataques cibernéticos a companhias aéreas – incluindo uma violação de dados à Qantas, em julho de 2025, que afetou seis milhões de clientes – cuja metodologia coincide com a do grupo Scattered Spider.

Técnicas como “MFA fatigue” (bombardeamento de pedidos de autenticação) e “vishing” (phishing por voz) foram amplamente utilizadas. Casos semelhantes afetaram ainda a Hawaiian Airlines e a WestJet, alertando para falhas na segurança de fornecedores terceiros do setor da aviação.

Principais indicadores identificados (domínios de phishing)

A investigação da Check Point identificou cerca de 500 domínios suspeitos, registados com padrões semelhantes, como:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

Estes domínios imitam páginas legítimas de login empresarial, com o objetivo de enganar colaboradores e obter credenciais.

Exemplos concretos observados incluem:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Nem todos os domínios estão necessariamente ativos ou maliciosos, mas o seu alinhamento com as técnicas conhecidas do grupo revela clara intenção de ataque. Esta realidade reforça a importância de uma monitorização transversal a todos os setores – já que nenhum está imune à engenharia social sofisticada.

Quem é o grupo Scattered Spider?

Segundo dados disponíveis publicamente, este grupo está ativo desde, pelo menos, 2022, e é composto sobretudo por jovens dos EUA e Reino Unido (entre os 19 e os 22 anos). As suas atividades focam-se em:

• Ransomware e roubo de credenciais
• Ataques a infraestruturas cloud
• Técnicas avançadas de engenharia social (spoofing, manipulação de MFA, SIM swapping)
• Ferramentas como Mimikatz, RATs como WarZone, Vidar e Raccoon Stealer
• Utilização de ransomware como serviço (ex.: BlackCat/ALPHV)

Ferramentas e técnicas utilizadas pelo Scattered Spider

Engenharia social:

• Phishing direcionado
• SIM swapping
• Bombardeamento de MFA (“push bombing”)
• Impersonação por telefone e SMS
• Enganar colaboradores para instalar ferramentas de acesso remoto
• Captura de palavras-passe únicas ou manipulação de MFA

Ferramentas de acesso remoto:

• Fleetdeck.io, Level.io, Ngrok, Pulseway, ScreenConnect
• Splashtop, Tactical RMM, Tailscale, TeamViewer
• Mimikatz (ferramenta de extração de credenciais)

Malware:

• WarZone RAT (versão divulgada)
• Raccoon Stealer
• Vidar Stealer

Ransomware:

• BlackCat / ALPHV (modelo Ransomware-as-a-Service)

Recomendações para empresas e setor da aviação

A Check Point recomenda que utilize as seguintes estratégias e ferramentas para se defender destes ataques:

Para empresas:

• Monitorização de domínios: monitorizar registos de domínios e bloquear os suspeitos que sigam os padrões do Scattered Spider
• Formação de colaboradores: realizar simulações e formações com foco em abusos de MFA e vishing
• Autenticação adaptativa: adotar MFA com deteção de anomalias comportamentais
• Segurança nos endpoints: garantir proteção robusta em todos os dispositivos da organização

Para o setor da aviação:

• Gestão de risco de fornecedores: auditar prestadores de serviços terceiros, como call centers, avaliando controlos de acesso e maturidade de segurança
• Verificação de identidade rigorosa: exigir validação em várias etapas para redefinições de palavras-passe e suporte relacionado com MFA
• Resposta a incidentes orientada para o setor: estabelecer planos de resposta específicos para fugas de dados de passageiros e plataformas de fidelização

Soluções Check Point para Mitigar a Ameaça do Scattered Spider

Para combater eficazmente estes riscos emergentes, a Check Point recomenda a adoção das seguintes plataformas de segurança:

• Check Point Harmony Email & Collaboration: protege contra ataques de phishing e de impersonação em caixas de e-mail e aplicações de comunicação, bloqueando ameaças antes de chegarem aos utilizadores.
• Check Point Harmony Endpoint: deteta e neutraliza ameaças diretamente nos endpoints, impedindo que se propaguem pela rede da organização.
• Check Point CloudGuard: garante a segurança de ambientes multi-cloud, prevenindo o abuso de credenciais e o acesso não autorizado a infraestruturas na cloud.
• Infinity ThreatCloud AI: alimentado por Inteligência Artificial, fornece inteligência de ameaças em tempo real, permitindo defesas proativas e adaptativas.
• Check Point Quantum Security Gateway: oferece segurança de rede escalável com prevenção de ameaças em tempo real, protegendo o tráfego corporativo com máxima eficácia.

Leituras e Recursos Adicionais

Explora mais recursos sobre o grupo Scattered Spider:

• CyberInt: Meet Scattered Spider
• HC3 Threat Actor Profile – Scattered Spider (Outubro 2024)

Para mais informação e atualizações em tempo real, visite o Blog da Check Point Research.

Siga a Check Point Software:

• X: http://www.twitter.com/checkpointsw
• Blog: http://blog.checkpoint.com
• YouTube: http://www.youtube.com/user/CPGlobal

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.

Mais informações aqui.