Un gruppo di giovani criminali informatici rappresenta la minaccia più imminente tra gli attacchi informatici del momento

Scaffali vuoti nei supermercati e aerei a terra tendono a segnalare una crisi, che si tratti di un evento meteorologico estremo , di una crisi di salute pubblica o di un'emergenza geopolitica . Ma queste scene di caos delle ultime settimane nel Regno Unito, negli Stati Uniti e in Canada sono state causate invece da attacchi informatici motivati ​​da interessi economici, apparentemente perpetrati da un collettivo di adolescenti in giro per il mondo.

Un noto gruppo di criminali informatici, spesso chiamato Scattered Spider, è noto per l'utilizzo di tecniche di ingegneria sociale per infiltrarsi nelle aziende prese di mira, ingannando gli addetti all'help desk IT e convincendoli a concedere loro l'accesso ai sistemi. I ricercatori affermano che il gruppo sembra acquisire competenze sui sistemi back-end comunemente utilizzati dalle aziende in un determinato settore e utilizza queste conoscenze per colpire un gruppo di obiettivi prima di passare a un altro. Il gruppo spesso distribuisce ransomware o conduce attacchi di estorsione di dati una volta compromesse le sue vittime.

A fronte della crescente pressione esercitata dalle forze dell'ordine lo scorso anno, culminata con l'incriminazione e l'arresto di cinque sospettati presumibilmente legati a Scattered Spider, i ricercatori affermano che il gruppo è stato meno attivo nel 2024 e sembrava stesse cercando di mantenere un basso profilo. L'escalation degli attacchi del gruppo nelle ultime settimane, tuttavia, ha dimostrato che, lungi dall'essere sconfitto, Scattered Spider si è nuovamente rincuorato.

"Ci sono alcuni attori con competenze uniche in Scattered Spider in materia di ingegneria sociale, e hanno individuato una grave lacuna nei nostri sistemi di sicurezza, che stanno sfruttando con successo", afferma John Hultquist, analista capo del gruppo di intelligence sulle minacce di Google. "Questo gruppo sta portando avanti attacchi gravi alle nostre infrastrutture critiche e spero che non perderemo l'occasione di affrontare la minaccia più imminente".

Sebbene diversi incidenti non siano stati pubblicamente attribuiti, una serie travolgente di recenti attacchi a catene di supermercati del Regno Unito, compagnie assicurative nordamericane e compagnie aeree internazionali è stata ampiamente collegata a Scattered Spider. A maggio, la National Crime Agency del Regno Unito ha confermato di stare indagando su Scattered Spider in relazione agli attacchi ai rivenditori britannici. E l'FBI ha avvertito in un avviso di venerdì di aver osservato "il gruppo di criminali informatici Scattered Spider estendere i suoi obiettivi per includere il settore del trasporto aereo". L'avvertimento è arrivato mentre le compagnie aeree nordamericane Westjet e Hawaii Airlines hanno dichiarato di essere state vittime di attacchi informatici. Mercoledì, anche la compagnia aerea australiana Qantas ha dichiarato di essere stata colpita da un attacco informatico, sebbene non sia stato immediatamente chiaro se questo attacco facesse parte della campagna del gruppo.

"Hanno rallentato e li abbiamo visti dissiparsi per un po' nel corso del 2024", afferma Adam Meyers, vicepresidente senior per le operazioni di contrasto alla minaccia presso la società di sicurezza CrowdStrike. "Poi sono tornati a colpire negli ultimi due mesi, colpendo prima il commercio al dettaglio, poi le compagnie assicurative e, più recentemente, le compagnie aeree".

Scattered Spider è emerso per la prima volta come gruppo di alto profilo verso la fine del 2023, quando i suoi membri sono passati dagli attacchi di scambio di SIM al lancio di attacchi ransomware debilitanti contro Caesar's Entertainment e MGM Resorts . Quest'ultimo è costato a MGM circa 100 milioni di dollari per il recupero . I ricercatori sottolineano che il collettivo è motivato finanziariamente, composto principalmente da adolescenti e giovani uomini di lingua inglese che spesso risiedono negli Stati Uniti o nel Regno Unito. Gli hacker di Scattered Spider sono considerati una propaggine di Com , una rete amorfa di potenzialmente migliaia di troll e criminali, molti dei quali si dedicano a molestie, estorsioni e sfruttamento minorile.

I membri di Scattered Spider si sono sempre più uniti attorno a una tattica di ingegneria sociale mirata per introdursi nelle reti aziendali. Gli aggressori possono impersonare un membro del personale che è bloccato fuori dal proprio account di posta elettronica aziendale e contattare l'help desk IT dell'azienda per ottenere l'accesso, prima di reimpostare le credenziali di autenticazione a più fattori . I ricercatori affermano che il gruppo ha anche utilizzato una tattica per creare siti web di phishing convincenti in cui gli URL includono spesso il nome dell'organizzazione target insieme a parole come "okta", "vpn" o "helpdesk". Una volta all'interno delle reti, gli hacker distribuiscono vari tipi di ransomware o rubano dati che vengono utilizzati per estorcere denaro alle aziende.

Meyers afferma che Crowdstrike ritiene che Scattered Spider abbia circa quattro membri principali, che guidano l'attacco alle potenziali vittime e "sfruttano" le risorse del più ampio ecosistema Com, se necessario. La struttura e le dimensioni esatte di Scattered Spider non sono chiare, ma i ricercatori concordano sul fatto che il gruppo si affidi a una serie di servizi di terze parti per portare a termine i suoi attacchi.

"La deterrenza è estremamente difficile perché stiamo essenzialmente combattendo in un mercato in cui molti attori sono sostituibili", afferma Hultquist di Google. "Ad esempio, Scattered Spider ha collaborato con diversi servizi ransomware, quindi se uno fallisce c'è sempre qualcuno pronto a sostituirlo".

Aiden Sinnott, ricercatore senior sulle minacce presso la Counter Threat Unit dell'azienda di sicurezza informatica Sophos, afferma che Scattered Spider e, più in generale, il Com sono connessi attraverso relazioni e community sui server Discord o sui gruppi Telegram. "È questo tipo di gruppo in evoluzione in cui forse stanno entrando nuovi e più giovani autori di minacce", afferma Sinnott. "Si può osservare questa naturale progressione di escalation man mano che apprendono competenze l'uno dall'altro, e sono molto propensi a condividere le proprie vittorie".

Alcuni membri di Scattered Spider potrebbero prendere di mira aziende di grandi dimensioni, mentre altri sono coinvolti in attività meno note. "Ci sono gruppi, o individui, che si concentrano sull'hacking di account Coinbase e sul furto di criptovalute e cose del genere", afferma Sinnott. "Quindi non si concentrano nemmeno su queste grandi organizzazioni aziendali".

Come afferma Hultquist, "l'attività è estremamente resiliente, perché invece di combattere un singolo attore, stiamo in realtà combattendo un mercato".