Esta publicação tem como objetivo divulgar o documento desenvolvido pelo equipe de Threat Intelligence da Service IT Security, que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Grupo de ameaças Muddled Libra (Scattered Spider) focando no setor aéreo e de transporte
Nos últimos meses, o grupo Muddled Libra — também identificado como Scattered Spider, UNC3944 ou Octo Tempest — ganhou destaque por sua atuação sofisticada contra empresas dos setores aéreo, transporte, tecnologia e financeiro. A ameaça não é nova, mas tem evoluído rapidamente, tornando-se um risco crítico para organizações com alta presença digital.
Segundo análises recentes, o grupo intensificou o uso de engenharia social altamente direcionada, incluindo chamadas falsas de suporte técnico, phishing com domínios falsos e técnicas de reset de MFA, com o objetivo de obter credenciais e realizar movimentação lateral dentro dos ambientes corporativos.
Esses ataques têm sido acompanhados do uso de ferramentas legítimas como PsExec, RMMs e infraestrutura em nuvem, permitindo acesso persistente, coleta de dados sensíveis e, em muitos casos, extorsão via ransomware (BlackCat). A Unit42 da Palo Alto Networks e o FBI alertaram para o aumento da atuação do grupo em setores críticos.
Os principais riscos mapeados:
- Comprometimento de executivos via vishing e chamadas falsas de helpdesk;
- Invasão de contas privilegiadas e persistência por ferramentas legítimas (RMM, VPNs, cloud);
- Exfiltração de dados sensíveis e campanhas de extorsão e disrupção operacional;
- Uso de domínios com palavras-chave como okta, vpn, sso, helpdesk, servicedesk, entre outros.
Recomendações de segurança:
- Realizar treinamentos frequentes de conscientização, especialmente para times de suporte e executivos (foco em engenharia social por voz e SMS);
- Implementar MFA robusto, com alertas para falhas repetidas e resets suspeitos;
- Monitorar continuamente domínios suspeitos, ferramentas RMM e movimentações laterais;
- Aplicar controle rígido de privilégios, segregação de funções e restrição a proxies/VPNs residenciais;
- Utilizar soluções de monitoramento digital, como as da Axur, para detectar domínios e credenciais potencialmente maliciosos.
A Service IT Security segue monitorando ativamente novas exposições e mantendo seus clientes informados de qualquer evolução relevante.
👉 Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
