Inicio
A SOMBRA DO SCATTERED SPIDER
Como Grupos Jovens de Hackers Tornaram os Cassinos o Alvo Mais Lucrativo de 2025
Boyd Gaming, MGM e Caesars: quando um adolescente e uma ligação de 10 minutos causam prejuízos de centenas de milhões
Uma semana antes do ataque à Boyd Gaming em 23 de setembro de 2025, um adolescente ligado ao grupo Scattered Spider se entregou à polícia de Las Vegas por ataques que custaram a MGM $100 milhões e levaram Caesars a pagar $15 milhões em resgate.
O padrão é cristalino: cassinos viraram o alvo preferido de grupos criminosos liderados por jovens (alguns ainda adolescentes) que usam engenharia social trivial para penetrar sistemas críticos. Enquanto o Brasil vê 132 operadores correndo para se licenciar em um mercado que processará R$50 bilhões anuais, o setor iGaming global enfrenta uma realidade incómoda — ataques de "10 minutos" que ignoram firewalls de última geração e penetram diretamente pelo elo mais fraco: o ser humano.
O vishing que vale milhões: anatomia de um ataque devastador
Em 11 de setembro de 2023, um hacker do Scattered Spider abriu o LinkedIn, localizou o perfil de um funcionário da MGM Grand, ligou para o help desk de TI da empresa e pediu um reset de senha. Dez minutos depois, possuía credenciais de administrador com acesso total aos ambientes Okta e Azure da MGM.
O que se seguiu foi um colapso operacional épico: slot machines offline, chaves digitais de quartos inoperantes, sistemas de reserva e pagamento paralisados, e-mails corporativos inacessíveis. A MGM ficou literalmente "no escuro" sobre suas propriedades por 9 dias, com prejuízo final estimado em $100 milhões.
Caesars Entertainment não escapou. Poucos dias antes, em agosto de 2023, o mesmo grupo usou táticas idênticas contra um fornecedor terceirizado de TI da Caesars. Resultado: acesso a dados de loyalty programs de milhões de clientes (incluindo números de carteira de motorista e Social Security Numbers) e um pagamento de resgate de $15 milhões — metade dos $30 milhões originalmente exigidos.
Agora, em 23 de setembro de 2025, a Boyd Gaming confirma via filing SEC 8-K que sofreu "incidente cibernético em que terceiro não autorizado acessou sistema interno de TI". Diferente de MGM, Boyd manteve 11 propriedades em Las Vegas operando normalmente, sinalizando preparação superior — mas dados de funcionários foram exfiltrados. O FBI investiga ativamente, e nenhum grupo reivindicou responsabilidade publicamente até o momento.
Scattered Spider: perfil do predador adolescente
Scattered Spider (também rastreado como UNC3944, 0ktapus, Muddled Libra, Octo Tempest, Storm-0875, Starfraud1) não é um grupo APT patrocinado por estado-nação. É um coletivo descentralizado de jovens entre 16-22 anos, predominantemente dos EUA e Reino Unido, ativos desde maio de 2022. A vantagem competitiva? Inglês nativo com sotaque americano perfeito, conhecimento profundo de cultura corporativa dos EUA e domínio técnico de ambientes cloud (Okta, Azure, AWS, VMware).
Cronologia de Ataques Confirmados
5 membros foram indiciados em novembro de 2024 pelo DOJ (US Attorney Central District California) por conspiração para fraude eletrónica, roubo de identidade agravado e extorsão. As acusações revelam que o grupo targetou pelo menos 12 organizações para roubo de dados e $11 milhões em criptomoedas de 29 indivíduos. Um adolescente de 17 anos do Reino Unido foi preso em julho de 2024 pela West Midlands Police com apoio do FBI. Em setembro de 2025, um membro se entregou à polícia de Las Vegas e foi liberado aos pais sob fiança.
TTPs: a kill chain de 10 minutos que vira pesadelo de 10 dias
Reconnaissance (MITRE ATT&CK T1589, T1593)
Para o Scattered Spider, o LinkedIn não é apenas uma rede profissional — é um vasto mapa de guerra. Eles dissecam organogramas inteiros, identificando implacavelmente administradores de sistemas e outros alvos de alto valor. Com uma precisão assustadora, desvendam a estrutura interna de TI e o provedor de Single Sign-On (geralmente Okta). Seu arsenal inclui um meticuloso scraping manual do LinkedIn, ferramentas de OSINT de ponta, e um garimpo frio e calculista em dumps de credenciais obtidas de breaches anteriores.
Initial Access via Social Engineering (T1566, T1660)
Phishing e Smishing avançados:
  • 5 kits de phishing modulares refinados entre 2023-2025, targetando Okta, Duo, OneLogin
  • Domínios curta-duração com keywords legítimos: "okta-corp", "vpn-help", "sso-support", "workspace-it"
  • Uso do framework Evilginx (man-in-the-middle) para capturar sessões autenticadas, incluindo tokens MFA
  • Redirecionamento para vídeo "Rick Roll" do YouTube após captura de credenciais (ofuscação de payload)
Vishing (voice phishing):
  • Ligação para help desk corporativo com script perfeito: "Oi, sou [nome do funcionário no LinkedIn], preciso resetar minha senha, estou tendo problemas para aceder o Okta"
  • Taxa de sucesso: altíssima. Help desks são treinados para ajudar, não suspeitar
  • Tempo médio para obter credenciais admin: 10 minutos
SIM Swapping (T1660.001):
  • Para bypass de OTP via SMS, grupo executa SIM swaps convencendo operadoras que o número foi roubado
  • Ataques de "MFA Fatigue/Push Bombing": enviar 8-10 prompts de aprovação MFA até usuário cansado aprovar por engano
Credential Access & MFA Bypass (T1110, T1556, T1621)
Uma vez com credenciais válidas, o grupo:
  • Registra novo dispositivo MFA na conta comprometida (T1556.006)
  • Explora Okta permissions abuse: auto-atribuir conta comprometida a todas apps da instância Okta
  • Replica tokens OAuth e cookies de sessão para acesso persistente sem necessidade de MFA recorrente
Ferramentas: Mimikatz para credential dumping, CyberArk discovery para credenciais privilegiadas armazenadas
Privilege Escalation & Persistence (T1078, T1098, T1136)
Cloud-native privilege escalation:
  • AWS: Explorar IAM tokens comprometidos, EC2 Serial Console, Systems Manager Session Manager
  • Azure: Escalar para Tenant Root Group management permissions — controle total do tenant
  • VMware vSphere: Criar VMs não-gerenciadas e acessíveis via internet para persistência (T1578.002)
Persistence via identity:
  • Adicionar provedores de identidade federada (T1098.004) a SSOs
  • Instalar ferramentas RMM legítimas: AnyDesk, LogMeIn, ConnectWise (T1219)
Defense Evasion (T1070, T1562)
Living off the Land (LotL):
  • Uso de ferramentas nativas Windows (cmd.exe, PowerShell, PsExec) e allowlisted apps
  • Desabilitar Microsoft Defender e Windows telemetry para dificultar forense (T1562.001)
  • Deletar registry subkeys para apagar rastros (T1070.005)
Monitoramento ativo da resposta:
  • Buscar no Slack, Microsoft Teams, Exchange Online por menções de "intrusion", "security", "incident" (T1114)
  • Participar de calls de incident response para entender como estão sendo caçados e desenvolver novos vetores proativamente
Lateral Movement (T1021, T1550)
  • Cloud-to-on-premises pivot: Okta SSO → Citrix Workspace → rede interna via VPN
  • RDP e SMB (PsExec) para movimento interno entre servidores Windows
  • AWS Systems Manager para saltar entre contas AWS
  • SSH e Impacket para redes Linux/Unix
Collection & Exfiltration (T1213, T1567)
Alvos prioritários:
  • Dados de loyalty programs (nomes, CPFs, SSNs, drivers license, endereços, histórico de apostas)
  • Credenciais AWS/Azure/Google Cloud e tokens Snowflake
  • Chaves API e secrets de aplicações
Métodos de exfiltração:
  • ETL tools actor-installed para extração massiva
  • Cloud sync malicioso: sincronizar dados SaaS para storage controlado por atacantes
  • MEGA.nz e data centers comprometidos (T1567.002)
  • ngrok para protocol tunneling seguro (T1572) — ferramenta de proxy reverso legítima
Impact: Ransomware Deployment (T1486, T1490)
BlackCat/ALPHV, RansomHub, Qilin, potencialmente DragonForce:
  • Após mapeamento completo, grupo deploy ransomware focando VMware ESXi hypervisors para maximizar impacto
  • Script Python customizado: estabelecer SSH com servidores ESXi, transferir encryptor via SFTP, executar em paralelo
  • Dupla extorsão: criptografar dados + ameaçar vazamento público
No caso MGM: Mais de 100 ESXi hypervisors criptografados. No caso Caesars: Ameaça de vazamento evitou criptografia após pagamento.
Por que cassinos são alvos perfeitos: anatomia da vulnerabilidade
1. Superfície de Ataque Massiva e Heterogénea
Cassinos operam ecossistemas digitais 24/7 conectando:
  • Gaming floors com milhares de slot machines IoT
  • Sistemas de hotel (check-in, chaves digitais, concierge)
  • Restaurantes e varejo (POS systems)
  • Surveillance systems (câmaras, reconhecimento facial)
  • Loyalty programs com dados sensíveis de milhões de clientes
  • Payment processing (cartões, digital wallets, cashless gaming)
  • Third-party vendor portals (múltiplos fornecedores de gaming, F&B, tech)
Resultado: Uma vulnerabilidade em termómetro de aquário IoT já foi usada para invadir cassino norte-americano em 2017. Legacy systems com credenciais default, segmentação de rede insuficiente, e terceiros mal auditados criam portas de entrada múltiplas.
2. Pressão Operacional 24/7 e Intolerância a Downtime
"The house never stops." Cassinos não podem pausar operações para manutenção de segurança sem perder milhões. MGM perdeu estimados $8.4 milhões por dia durante 9 dias de parada. Esta pressão cria:
  • Decisões de segurança apressadas priorizando disponibilidade sobre hardening
  • Patches atrasados em sistemas críticos para evitar janelas de manutenção
  • Resistência a implementar MFA resistente a phishing por medo de impactar UX de funcionários
3. Dados Altamente Valiosos para Múltiplos Tipos de Crime
Cassinos armazenam combinação única de dados:
  • PII + financial: Nome, CPF/SSN, cartões, contas bancárias
  • Behavioral: Histórico de apostas, padrões de jogo, preferências
  • High-roller data: VIPs com património líquido ultra-alto
  • Surveillance footage: Utilizado para chantagem/extorsão
Mercado negro: Dados de cassino valem 5-10x mais que dados bancários genéricos por permitir fraude financeira + identity theft + chantagem simultaneamente.
4. Cultura de Hospitalidade vs. Cultura de Segurança
Help desks em cassinos são treinados para "always say yes" — priorizar customer service sobre verificação rigorosa. Scattered Spider explora isto magistralmente:
  • Script de urgência: "Preciso aceder sistema agora, temos VIP chegando em 30 minutos"
  • Name dropping: "Conversei com [nome de gestor real extraído do LinkedIn] esta manhã"
  • Conhecimento técnico real: Usar terminologia correta de Okta/Azure impressiona e dá credibilidade
5. Terceiros: O Elo Mais Fraco
FBI notification (novembro 2021) alertou: 1000% de aumento em ataques a cassinos desde 2019, majoritariamente via compromisso de ferramentas de acesso remoto de vendors. Scattered Spider comprometeu vendor de TI da Caesars para acesso inicial. Gaming vendors, POS providers, surveillance tech — todos são vetores.
O caso brasileiro:
Tempestade perfeita em formação
Explosão Regulatória e Superfície de Ataque
Mais de 132 operadores aplicaram para licença iGaming no Brasil até 1º de janeiro de 2025, quando entrou em vigor o framework regulatório mais rigoroso da América Latina. Projeções indicam R$50 bilhões em turnover anual e 100+ milhões de jogadores ativos.
Requisitos obrigatórios (Ordinance 1.143, 1.231, 722 - SPA/Ministério da Fazenda):
  • KYC robusto: CPF, biometria facial, documentos oficiais, geolocation em cada login
  • AML/CFT compliance: Screening PEP, listas de sanções, lista de exclusão Brasil (funcionários de operadores, servidores públicos reguladores, atletas/árbitros)
  • Verificação recorrente: Biometria a cada 7 dias + após 30 minutos de inatividade
  • Domínio .bet.br obrigatório desde 01/01/2025; outros domínios bloqueados
  • Multas: Até R$2 bilhões para não-conformidade; perda de licença; desqualificação permanente do mercado
Dados alarmantes:
84%
dos ataques cibernéticos da América Latina
Brasil concentrou em 2025 (314.8 bilhões de tentativas detectadas H1/2025)
96.66%
de aumento em visitas fraudulentas
a sites de apostas (Similarweb 2023-2024)
53
incidentes cibernéticos reportados
ao Banco Central apenas em 2025 (vs. 59 em todo 2024)
30%
das instituições financeiras
não revisam credenciais de funcionários periodicamente (BACEN Core Summit 24/set/2025)
Mercado Negro de CPFs: Ticking Time Bomb
Existe mercado subterrâneo desenvolvido de CPFs roubados amplamente disponíveis. Operadores devem:
  • Verificar CPFs contra bases governamentais confiáveis em tempo real
  • ID verification + facial biometrics obrigatório para prevenir fraude de identidade sintética
  • Cross-reference com listas de exclusão (operadores, reguladores, atletas, PEPs)
Risco Scattered Spider: Se grupo targetar mercado brasileiro usando TTPs adaptados (vishing em português, LinkedIn BR, phishing Okta/Azure de operadores licenciados), impacto seria devastador considerando:
  • Onboarding explosivo: 100M+ jogadores = pressão operacional imensa em help desks
  • Compliance rigoroso: Dados KYC/biométricos centralizados = alvo de alto valor
  • Integrações complexas: PIX (pagamento instantâneo), terceiros de identity verification, game providers — cada integração é vetor potencial
Mitigações: como não virar próxima vítima
Para Executivos (C-Level/Board)
1. Governança e Cultura
  • Criar cargo de CISO report direto ao CEO/Board com orçamento independente para segurança
  • Estabelecer Security Champions em cada BU: Produto, Operações, Customer Service, Finance
  • KPIs de segurança nos dashboards executivos: Account Takeover Rate, Mean Time to Detect (MTTD), Phishing Click Rate, Vendor Risk Score
2. Investimento Estratégico em Controles de Identidade
  • Phishing-resistant MFA: FIDO2/WebAuthn (hardware keys ou biometria device-native) — elimina bypass via MFA fatigue e AitM
  • Passwordless authentication para reduzir surface de credential theft
  • Endpoint Detection & Response (EDR) com deteção comportamental para ferramentas LotL
  • Cyber Insurance robusto: Cobertura específica para incident response, forensics, business interruption, regulatory fines. Boyd Gaming destacou em SEC filing sua "comprehensive cybersecurity insurance policy" como diferencial
3. Business Impact Analysis (BIA) e Disaster Recovery
  • Realizar BIA específico para cenário Scattered Spider: comprometimento total de Okta/Azure/AWS simultâneo
  • Backup offline e imutável de sistemas críticos e dados de loyalty programs
  • Playbooks testados trimestralmente: incident response para social engineering, ransomware, data exfiltration
Para Times Técnicos (SecOps/Blue Team)
Hardening de Infraestrutura de Identidade
Implementar políticas de acesso condicional robustas baseadas em conformidade de dispositivo e geolocalização, com deteção de viagens impossíveis (exemplo: login em Nova York às 10h e Londres às 10h05 indica comprometimento). Desabilitar protocolos de autenticação legados como Basic Auth e NTLM sempre que possível, segregar completamente contas administrativas de contas regulares com procedimentos break-glass documentados.
Integrar logs de auditoria com SIEM para alertas em tempo real sobre eventos críticos: registo de novo dispositivo MFA, mudanças de senha administrativa fora do horário comercial, múltiplas tentativas MFA falhadas indicando ataque de fadiga, acesso a aplicações sensíveis de IPs incomuns, e modificações em configurações de federação. Estabelecer baselines comportamentais para cada tipo de usuário e alertar sobre desvios significativos.
Network Segmentation e Zero Trust com Akamai
Implementar microsegmentação rigorosa isolando gaming floor, sistemas de loyalty, TI corporativa e processamento de pagamentos em VLANs separadas com firewalls internos. Adotar arquitetura Zero Trust Network Access (ZTNA) onde nenhum acesso é confiável por padrão — validar continuamente identidade, dispositivo e postura de segurança antes de cada acesso a recursos.
Leverage Akamai para Defesa em Profundidade:
  • Akamai Enterprise Application Access (EAA) fornece ZTNA cloud-native que elimina necessidade de VPNs tradicionais vulneráveis a ataques Scattered Spider
  • Akamai MFA oferece autenticação multifator resistente a phishing integrada à edge da Akamai, com suporte a FIDO2/WebAuthn
  • Akamai Bot Manager e Account Protector detetam e bloqueiam atividades automatizadas de bots, credential stuffing e account takeover em tempo real
  • Akamai API Security protege APIs críticas de gaming, pagamentos e loyalty programs contra abuse
Detection Engineering e Hunting
Desenvolver regras de correlação SIEM específicas para detetar ataques MFA Fatigue: identificar múltiplas tentativas de autenticação MFA negadas (>5) em janela curta de tempo (<5 minutos) para mesmo usuário e sessão, alertando equipa SOC imediatamente.
Criar alertas para registo de novos dispositivos MFA originados de endereços IP não previamente observados nos últimos 30 dias, especialmente fora do horário comercial ou de localizações geográficas incompatíveis com perfil do usuário.
Monitorar ações administrativas executadas por contas de help desk: resets de senha, registo de dispositivos MFA, atribuição de roles admin — especialmente quando concentrados em curto período ou fora de padrões históricos.
Threat Hunting Proativo
Buscar proativamente indicadores de TTPs Scattered Spider em ambiente: ferramentas de proxy reverso legítimas como ngrok e Tailscale instaladas em endpoints corporativos, scripts Python incomuns em servidores Windows (linguagem preferida do grupo para automação), acessos anómalos a vaults de credenciais privilegiadas (CyberArk, HashiCorp Vault) especialmente após comprometimento suspeito de identidade.
Auditar criação de VMs em ambientes cloud (Azure/AWS/GCP) que não seguiram processo de aprovação via Infrastructure-as-Code, e modificações em configurações SSH de hypervisors ESXi — vetor preferido do grupo para deployment de ransomware em ambientes virtualizados.
Para Produto e Gestão de Riscos
1. Fraud & Abuse Prevention (Brasil-Specific)
  • Velocity checks rigorosos: Limitar tentativas de cadastro/login por IP/device fingerprint/CPF
  • Behavioral biometrics: Analisar padrões de digitação, movimento de rato, scroll patterns para detetar bots e ATO
  • Device intelligence: Associar CPF + dispositivo confiável; alertar em login de novo device
  • Geo-fencing inteligente: Se jogador costuma jogar de São Paulo, login simultâneo de Manaus = red flag
2. Third-Party Risk Management (TPRM)
  • Security questionnaires obrigatórios para todos vendors com acesso remoto
  • Penetration testing de integrações críticas (payment gateways, KYC providers, game aggregators)
  • Least privilege: Vendors só acedem sistemas minimamente necessários via VPN segmentada
  • Audit logs de vendor activity com revisão semanal
3. Employee Awareness & Simulation
  • Phishing simulations mensais com cenários Scattered Spider (vishing, smishing, LinkedIn recon)
  • Gamification: Recompensar funcionários que reportam tentativas suspeitas
  • Procedimentos de verificação de identidade em help desk:
  • Nunca resetar senha apenas com informações de LinkedIn
  • Exigir 3+ fatores de verificação (employee ID + manager approval + callback to registered number)
  • Red words: Se solicitante usar urgência ou name-dropping excessivo = escalar para segurança
Regulatório & Compliance Brasil: requisitos inegociáveis
SPA/Ministério da Fazenda
  • Ordinance 1.143: Requisitos de identificação e verificação de jogadores
  • Ordinance 1.231: Medidas de combate à lavagem de dinheiro
  • Ordinance 722: Obrigações de reportar atividades suspeitas
Penalidades não-conformidade:
  • Multas até R$2 bilhões (>$360 milhões USD)
  • Suspensão/revogação de licença
  • Desqualificação permanente do mercado brasileiro
LGPD (Lei Geral de Proteção de Dados)
  • Dados biométricos são dados sensíveis — requerem consentimento explícito + criptografia em repouso/trânsito
  • Breach notification: 72 horas para ANPD em caso de incidente com risco a titulares
  • Data minimization: Coletar apenas dados estritamente necessários; purge após período legal
BACEN & COAF (AML/CFT)
  • Screening contínuo: PEPs, listas de sanções internacionais (OFAC, UN, EU), lista de exclusão nacional
  • Transaction monitoring: Identificar structuring, smurfing, layering patterns
  • Suspicious Activity Reports (SAR): Reportar ao COAF atividades atípicas em 24h
  • Record keeping: Manter registos de transações e due diligence por 5 anos mínimo
Indicadores de Compromisso (IoCs) e TTPs - MITRE ATT&CK
Métricas e KPIs: Como Medir Evolução
Security Metrics (Mensuração Contínua)
Business Impact Metrics (Brasil-Specific)
Tabela Comparativa: O Que Deu Errado vs. Como Evitar
5 Takeaways Executivos
1
Scattered Spider = grupo de jovens 16-22 anos (EUA/UK) causou $100M+ prejuízo a MGM via vishing de 10 minutos.
Boyd Gaming (set/2025) é vítima mais recente; adolescente se entregou à polícia Las Vegas 6 dias antes.
2
Vetor primário: engenharia social (vishing/phishing) → credenciais Okta/Azure → escalação para admin → deploy ransomware em ESXi.
MFA tradicional (SMS, push) é bypassado via fatigue attacks e MitM (Evilginx).
3
Cassinos são alvos perfeitos: Dados ultra-valiosos (PII + financial + behavioral), operações 24/7 com intolerância a downtime, cultura hospitality vs. security, múltiplos terceiros mal auditados.
4
Brasil 2025 = tempestade perfeita: 132 operadores licenciados, R$50B turnover projetado, 84% dos ataques LatAm concentrados no país, KYC rigoroso gerando databases centralizadas de CPFs + biometria.
Multas não-conformidade: até R$2 bilhões.
5
Mitigações críticas (30 dias): FIDO2/WebAuthn para admins, conditional access policies, help desk procedures 3-factor verification, SIEM alerts (novo MFA device, admin password change), tabletop exercise simulando Scattered Spider.
Conclusão: A Corrida Armamentista Não Termina
Scattered Spider provou que técnicos de segurança cibernética corporativa subestimaram dramaticamente o poder da engenharia social combinada com expertise técnica cloud-native. Um adolescente com LinkedIn, telefone e conhecimento de Okta pode causar mais estrago que malware sofisticado de estado-nação. A kill chain de 10 minutos que vira pesadelo de 10 dias é real, replicável e está acontecendo agora.
Para o setor iGaming brasileiro, 2025 marca o início de uma era dourada — R$50 bilhões em turnover, 100+ milhões de jogadores, 132 operadores licenciados. Mas também marca o início de um alvo pintado nas costas de cada operador. Brasil já concentra 84% dos ataques cibernéticos da América Latina. Com KYC rigoroso gerando databases centralizadas de CPFs + biometria + dados financeiros, o valor para criminosos é astronómico.
A pergunta não é "se" seremos atacados, mas "quando" — e se estaremos prontos. MGM pagou $100 milhões por não estar. Caesars pagou $15 milhões para encurtar a dor. Boyd Gaming, com preparação superior (cyber insurance robusto, segmentação, DR), evitou catástrofe operacional.
Três lições finais:
  1. Tecnologia não é suficiente. FIDO2 + EDR + SIEM são necessários, mas cultura de segurança e processos rigorosos de help desk são o verdadeiro diferencial.
  1. Compliance é baseline, não objetivo. Cumprir SPA/LGPD/BACEN te mantém legal, mas não te mantém seguro. Scattered Spider ignora checkboxes regulatórios.
  1. Preparação > Reação. Investir em DR, cyber insurance, segmentação e treinamento antes do ataque custa fração do prejuízo pós-ataque.
O Scattered Spider está caçando.
A questão é:
Você é presa ou predador?
Fale Conosco
Tem perguntas, precisa de uma consultoria ou quer saber mais sobre as nossas soluções de cibersegurança? Estamos prontos para ajudar a proteger o seu negócio contra ameaças como o Scattered Spider.