King Bob, Gustavo Fring, Elijah e Sosa eram alguns dos apelidos de Noah Michael Urban, quando ainda era uma figura ativa no submundo do crime cibernético. Na última quarta-feira (20), Urban foi condenado a dez anos de prisão e sentenciado a pagar quase US$ 13 milhões de R$ 13 milhões (R$ 70 milhões). O motivo? Ele roubou milhares de dólares em criptomoedas como um dos cabeças do grupo Scattered Spider.
Noah, de 20 anos, foi preso pelas autoridades em janeiro de 2024 e acusado em novembro de integrar o grupo hacker. Em abril deste ano, o criminoso se declarou culpado de crimes como fraude eletrônica, conspiração e roubo de identidade qualificado. A promotoria solicitou uma pena de somente oito anos, mas o juiz responsável pelo caso optou pelos dez anos de prisão.
- Entenda o caso: Cibercriminoso vende 15,7 milhões de contas vazadas do PayPal
Como apontam os documentos do processo, Urban conseguiu roubar milhões de dólares de diferentes vítimas nos últimos anos ao utilizar credenciais roubadas em ataques de phishing por SMS. Além da prisão, o homem terá que pagar esses R$ 70 milhões como restituição para as vítimas de seus golpes.
O que é e como agia o Scattered Spider
Grupo muito conhecido nos últimos anos, o Scattered Spider, é um grupo cibercriminoso que utiliza métodos de engenharia social para atacar seus alvos. Por vezes chamados de Oktapus, Scatter Swine UNC3944 e Muddled Libra, os criminosos miram vítimas de grandes organizações para roubar muito dinheiro.
Antes de 2023, o grupo era apenas mais um coletivo de criminosos até então pouco conhecidos. Contudo, o primeiro ataque da aranha se tornou público em setembro, quando um ciberataque até então misterioso atingiu os sistemas da MGM Resorts, responsável por uma rede de hotéis de luxo, como o famoso cassino Bellagio, em Las Vegas.
O método do grupo era clássico, utilizando o ransomware Black Cat. Considerado uma das variantes mais perigosas da classe, esse malware funciona como um Ransomware-as-a-service. Em outras palavras, é como se ele fosse um serviço pronto para diversos hackers utilizarem.
Além da rede de resorts, o grupo Scattered Spider atacou gigantes, como a Riot Games, Reddit, Twilio, Coinbase, DoorDash, Caesars e MailChimp. O coletivo não tinha alvos especificados, e chegou a passar um tempo invadindo apenas companhias de seguros — muito lucrativas.
Mesmo com o desmanche parcial do grupo, os criminosos continuam seus trabalhos. No fim de junho, fontes reportaram ao site Bleeping Computer que os hackers direcionaram seu foco para empresas de aviação, e a vítima mais recente era a WetJet, segunda maior empresa do ramo no Canadá.
Um dado interessante sobre os golpistas está em um de seus diversos nomes. A firma de segurança Group-IB publicou um relatório que apontava os criminosos como Oktapus, e esse nome tem relação direta com o modo de atuação dos fraudadores.
Esse nome deriva da plataforma de autenticação Okta, usada por empresas para gerenciamento de identidade. Uma companhia pode usar esse serviço para que seus funcionários realizem um único login em diversos serviços terceirizados, como o Slack, Google Workspace, Salesforce, etc.
O método Black Cat
Assim como diversos outros grupos hackers, Scattered Spider gostava de usar o ransomware Black Cat. Sofisticado e venenoso, esse método de invasão segue uma metodologia clara, que pode ser dividida em algumas etapas até simples de entender.
Um dos modos mais comuns de adicionar o ransomware na máquina dos usuários é por meio do phishing. Um email com texto falso e um link malicioso, que logo após ser clicado, direciona o usuário para um site fraudulento onde ele insere suas credenciais de acesso. Ali, a aranha leva sua vítima para a teia.
Com as credenciais em mãos, os cibercriminosos têm acesso direto ao sistema da organização. Mesmo assim, eles são sorrateiros e realizam um reconhecimento em toda a plataforma para entender o que é valioso, como dados de clientes, documentos financeiros, produtos, registros de funcionários e assim sucessivamente.
Após o reconhecimento, os criminosos finalmente escolhem e roubam os dados desejados. Então, começa a fase de criptografia de dados por meio do ransomware. O Black Cat é colocado em ação, e como é criado na linguagem de programação Rust, embaralha os arquivos e os torna inacessíveis.
O estrago já está feito, e o Scattered Spider começa a etapa de extorsão, exigindo um resgate para o fornecimento de uma chave de descriptografia. Caso essa primeira tentativa não seja bem sucedida, os criminosos ameaçam vazar as informações na dark web, ou até mesmo ameaçar um ataque DDoS contra a empresa.
Além do Black Cat, é reportado que o grupo golpista também já se uniu a operações ransomware como Qilin, RansomHub e DragonForce, expoentes no cenário de roubo de dados.
- Os criminosos usam phishing para fisgar e roubar credenciais de usuários para invadir a rede de uma empresa;
- Dentro do sistema, é feito um reconhecimento de dados importantes, como informações de clientes, relatórios financeiros, etc;
- Após escolher os arquivos desejados, é feita a extração desses dados;
- O ransomware Black Cat é usado para criptografar esses dados, impossibilitando o acesso;
- A última etapa é da extorsão, quando os criminosos exigem um resgate, e chega ameaçar liberar o conteúdo na dark web ou promover ataques DDoS.
Peixe grande, ou peixe pequeno?
Com uma sentença já emitida, Noah Michael Urban teria sido um dos principais responsáveis pelo ataque ao MGM Resorts e a Caesars Entertainment, que atua no mesmo segmento.
Urban tinha um golpe em especial na sua teia de armações. O atacante usava o método de SIM-swapping, que consiste no fraudador transferir o número de telefone do seu chip SIM para o dele. Nesse processo, o chip original deixa de funcionar, mas o hacker recebe todas as informações da vítima, como ligações e SMS.
- Você pode se interessar: Ministério Público prende quadrilha especializada em golpe do boleto falso
Com isso em mente, o criminoso pode descobrir seus dados e começar um ataque de phishing coordenado até por meio de mensagens via email. Lá, a situação é a mesma, a vítima clica em um link falso, insere seus dados e o atacante passa a ter informações sigilosas.
Como muitos serviços de login, como o próprio Google, usam autenticação de dois fatores em que um código via SMS para confirmar aquela tentativa de entrada. Como é o hacker quem possui acesso ao SMS, ele está livre para conectar em suas contas e garimpar o que vai sequestrar da vítima.
O jornalista Brian Krebs conseguiu contatar Urban por meio da rede social X depois da sentença. Na conversa, o criminoso explicou que sua condenação foi injusta porque não considerou sua idade como fator atenuante no caso. O motivo é que o próprio juiz teria sido hackeado pelo grupo durante o caso.
Aliás, em julho e dezembro de 2024 as autoridades prenderam outros dois integrantes do Scattered Spider. O primeiro era um adolescente de 17 anos com suposto envolvimento no ataque ao MGM Resorts, enquanto o segundo, de 19 anos, era conhecido como “remi” e foi acusado pelos EUA de violar uma instituição financeira do país e duas outras do segmento de telecomunicações ainda não identificadas.
Para mais informações sobre golpes, segurança e prisões de cibercriminosos, fique de olho no site do TecMundo e na nossa editoria especializada para não perder nada.
