Os hackers que supostamente atacaram mais de 130 organizações no ano passado e roubaram as credenciais de quase 10.000 funcionários continuam tendo como alvo várias empresas de tecnologia e videogames, de acordo com um relatório obtido pelo TechCrunch.
O relatório, preparado pela empresa de segurança cibernética CrowdStrike, chama os hackers de “Aranha Espalhada”. Em um relatório anterior disponível ao público, a empresa disse que esse grupo também é conhecido como “0ktapus torrado” em uma aparente referência ao relatório divulgado pelo Group-IB, outra empresa de segurança cibernética, no ano passado.
Relatórios como o obtido pelo TechCrunch são produzidos por empresas de inteligência de ameaças para seus clientes, com a ideia de alertá-los sobre hackers que visam diretamente clientes ou outras empresas do mesmo setor. No relatório, a CrowdStrike observa que tem visibilidade limitada da campanha de hackers, uma vez que não possui “artefatos forenses adicionais”, referindo-se aos dados obtidos diretamente das organizações visadas. É por isso que a empresa admite ter “baixa confiança” em sua avaliação de que se trata de uma atividade do Scattered Spider.
Dois especialistas em segurança cibernética, que pediram para permanecer anônimos porque não estavam autorizados a falar com a imprensa, disseram que o entendimento dentro do setor é que o Scattered Spider é o mesmo grupo que o 0ktapus.
“O Scattered Spider continuou a implantar várias páginas de phishing em janeiro de 2023. A CrowdStrike Intelligence avalia que o adversário provavelmente ampliou seu alcance alvo para incluir empresas do setor de tecnologia especializadas em jogos ou software financeiro, mantendo um foco anterior em empresas de terceirização. processos de negócios (BPO) e telefonia móvel. provedores”, diz o relatório, que não está disponível ao público.
Não está claro se este é o mesmo grupo que invadiu a Riot Games no mês passado, mas em uma lista de domínios de phishing incluídos no relatório CrowdStrike, há um que foi claramente feito para atingir a gigante dos jogos, uma vez que inclui o nome da empresa em o URL
Entre os domínios de phishing, também existem outros projetados para se passar por criadores de jogos Roblox e Zynga; a gigante do marketing por e-mail e newsletter Mailchimp e sua controladora Intuit; Força de vendas; Comcast; e Grubhub. A TaskUs, uma empreiteira que fornece atendimento ao cliente para empresas como Mailchimp, Intuit e outras gigantes da tecnologia, também estava na lista.
Em janeiro, o Mailchimp revelou que havia sido hackeado, o segundo ataque contra a empresa em seis meses. Na época, o Mailchimp disse que os hackers visavam seus funcionários por meio de phishing. Não está claro se este incidente está relacionado às atividades do Scattered Spider. O Mailchimp não respondeu a um pedido de comentário.
A Riot se recusou a comentar.
O porta-voz da Salesforce, Allen Tsai, disse que a empresa “está ciente e monitorando as campanhas de phishing em todo o setor”.
“Neste momento, não temos indicação de acesso não autorizado a dados de clientes relevantes para o relatório citado”, disse Tsai em um e-mail.
Um porta-voz da Intuit não comentou porque não tinha visto o relatório.
Roblox, Zynga, TaskUs, Salesforce, Comcast e Grubhub não responderam imediatamente a um pedido de comentário.
O relatório disse que “a maioria” das páginas de phishing do grupo de hackers foi projetada para imitar os portais de login da Okta, “enquanto um número muito menor se fazia passar pela Microsoft”.
CrowdStrike não respondeu a um pedido de comentário.
Você é um assinante do Google Fi que também foi vítima de um ataque semelhante? Você também recebeu uma notificação personalizada da empresa sobre o hack contra você? Gostaríamos muito de ouvir de você. Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, ou via Wickr, Telegram e Wire @lorenzofb, ou e-mail lorenzo@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.