Zeki Turedi, da CrowdStrike, explica como as organizações podem se proteger contra ameaças sofisticadas focadas em identidade e ataques de ransomware
O cenário atual da segurança cibernética evolui a uma velocidade vertiginosa, impulsionado por ataques baseados em engano e inteligência artificial.
A segurança de identidade surgiu como a linha de frente crítica na batalha contra os cibercriminosos.
À medida que grupos de ameaças como o SCATTERED SPIDER refinam seus métodos para explorar tanto as vulnerabilidades humanas quanto as fraquezas do sistema, as organizações precisam repensar fundamentalmente como detectam ameaças, respondem a incidentes e se mantêm à frente dos invasores, de acordo com Zeki Turedi, CTO de campo para a Europa na CrowdStrike.
Nesta entrevista com a Technology Magazine, Turedi explora a evolução da defesa agênica, a ascensão da detecção e resposta por IA (AIDR) e como a colaboração intersetorial está transformando a luta contra o crime cibernético moderno.
O que tornou as táticas do SCATTERED SPIDER únicas entre os grupos de crime eletrônico?
O SCATTERED SPIDER se destacou por meio de ataques agressivos e focados na identidade, que estabeleceram um novo padrão entre os grupos de crime eletrônico.
Depois de permanecer relativamente inativo, o grupo ressurgiu em 2025 com campanhas coordenadas visando os setores de aviação, seguros e varejo.
Sua técnica característica é o phishing de voz, ou “vishing”, em que usam engenharia social para se passar por funcionários legítimos. Munidos de informações precisas de identidade, eles entram em contato com a equipe de suporte técnico e os manipulam para redefinir senhas ou credenciais de autenticação multifatorial (MFA).
Em poucos minutos, os invasores normalmente registram seus próprios dispositivos para autenticação, obtêm acesso ao Microsoft 365 e outros aplicativos SaaS, excluem alertas de segurança para cobrir seus rastros e se movem lateralmente pelas redes corporativas.
O que os diferencia é a notável velocidade e precisão de suas operações. Eles visam especificamente os serviços de suporte técnico para comprometer contas pertencentes ao pessoal de TI e segurança, que normalmente têm acesso à documentação da arquitetura de rede, ferramentas de segurança e procedimentos de resposta a incidentes.
O grupo também busca contas de executivos de alto escalão, aproveitando seu acesso a dados confidenciais, comunicações e recursos que facilitam o roubo de dados e a extorsão.
Depois de invadir uma rede, eles agem rapidamente usando identidades comprometidas para roubar grandes volumes de dados, escalar privilégios e, em alguns casos, passar da invasão inicial da conta para a implantação completa do ransomware em menos de 24 horas.
Sua combinação de engenharia social, táticas práticas e exploração de identidade permite que eles contornem terminais fortemente monitorados e interrompam setores críticos de forma mais eficaz do que a maioria dos grupos de eCrime.
Quais setores sofreram mais com seus ataques e por quê?
Ao longo de 2025, o SCATTERED SPIDER concentrou-se em setores onde a interrupção cria consequências imediatas e de alto impacto.
O setor de aviação atrai o grupo devido à sua dependência de operações contínuas, sistemas interconectados e manuseio de informações confidenciais.
As seguradoras são alvos valiosos devido aos dados altamente confidenciais que mantêm e ao seu papel essencial nos serviços financeiros.
Os varejistas enfrentam uma vulnerabilidade particular devido à grande força de trabalho, aos ambientes de TI distribuídos e à intensa pressão criada pela paralisação operacional.
Combinando engenharia social com rápida escalada de privilégios, o SCATTERED SPIDER explorou vulnerabilidades de identidade e processos nesses setores, transformando-as em alavancas para extorsão e ataques de ransomware.
Como a colaboração público-privada moldou essa resposta das autoridades policiais?
Quando as autoridades policiais e o setor privado compartilham informações críticas sobre ameaças e tomam medidas decisivas em conjunto, eles podem interromper operações cibernéticas que causam danos significativos às empresas globais, como demonstrado pelas prisões de dois membros do SCATTERED SPIDER.
Que mudanças você prevê nas operações de ransomware após essas prisões?
Essas prisões representam uma grande interrupção e provavelmente prejudicarão as operações do SCATTERED SPIDER no curto prazo.
Mais significativamente, elas enviam uma mensagem clara: os cibercriminosos que extorquem e interrompam agressivamente as empresas não estão fora do alcance das autoridades policiais.
Que medidas imediatas as empresas devem tomar para se defender contra ameaças semelhantes?
Comece com a segurança da identidade. As empresas devem implementar MFA resistente a phishing e fortalecer os processos de help desk para impedir que os invasores os explorem para redefinir credenciais ou registrar novos dispositivos.
Priorize a detecção e o monitoramento. As organizações precisam compreender profundamente sua infraestrutura tecnológica crítica, seja um cluster virtual executando aplicativos essenciais ou um CRM SaaS contendo informações confidenciais. Implemente um registro robusto e monitore anomalias de autenticação, alterações administrativas e comportamentos incomuns que afetam sistemas críticos.
Registros abrangentes e soluções que fornecem análises entre domínios, como plataformas SIEM de última geração, são essenciais. Preste muita atenção ao uso suspeito de aplicativos, termos de pesquisa e padrões de acesso a dados que muitas vezes sinalizam atividades maliciosas.
Fortaleça a segurança da infraestrutura. Segmente redes, proteja ambientes VMware, aplique controles de acesso com privilégios mínimos em sistemas em nuvem e desative métodos de autenticação desatualizados. Essas medidas limitam o quanto os adversários podem penetrar depois de violarem o perímetro.
Garanta a prontidão para incidentes. Mantenha backups isolados, pratique procedimentos de resposta a incidentes regularmente e treine a equipe de help desk e TI para reconhecer tentativas de engenharia social.
Ao fortalecer as proteções de identidade, melhorar a visibilidade e se preparar para responder rapidamente, as organizações podem fechar as brechas de segurança que os adversários exploram e impedir violações antes que elas se agravem.
