Il gruppo di criminali informatici noto come Scattered Spider torna a far parlare di sé; infatti dopo aver colpito duramente aziende nei settori assicurativo e tecnologico, ora sposta il mirino sull’aviazione, come confermato dall’FBI in un recente avviso pubblico.
Chi (o per meglio dire cosa) è Scattered Spider?
Si tratta di uno dei gruppi di hacker più temuti e sofisticati in circolazione. Attivo almeno dal 2021, è noto per attacchi mirati a grandi aziende americane e internazionali. Fa parte di un collettivo fluido e difficile da inquadrare chiamato “The Com”, dove operano anche nomi noti come LAPSUS$.
Il loro stile? Niente malware grezzo o attacchi brute-force. Scattered Spider preferisce un approccio psicologico: colpisce le persone, non solo i sistemi.
Social engineering evoluto
Il loro punto di forza è la manipolazione umana. Gli hacker si fingono dipendenti o fornitori esterni e contattano il supporto IT aziendale (i classici help desk) per ottenere accesso agli account aziendali.
Spesso riescono persino a far aggiungere dispositivi MFA (autenticazione a più fattori) ai profili compromessi, rendendo inutile la protezione.
“Non si tratta più solo di phishing. Parliamo di vere e proprie campagne di compromissione dell’identità,” avvertono gli analisti di sicurezza.
Il nuovo obiettivo: le compagnie aeree
Secondo l’FBI e diverse aziende di cybersecurity come Palo Alto Networks e Mandiant (Google), Scattered Spider ha iniziato a prendere di mira anche il settore aeronautico e dei trasporti. L’obiettivo? Gli account ad alto privilegio come quelli dei dirigenti, spesso con accesso diretto a infrastrutture critiche.
In un caso recente, gli hacker hanno preso di mira un CFO (Chief Financial Officer), raccogliendo informazioni personali da fonti pubbliche e simulando perfettamente la sua identità. Con quei dati, hanno chiamato l’assistenza IT aziendale, ottenendo il reset dell’autenticazione MFA e l’accesso completo all’account.
Mandiant raccomanda massima attenzione a tutte le richieste sospette di reset MFA o modifiche agli account da parte di dirigenti o collaboratori.
Come agisce Scattered Spider?
Una volta dentro, il gruppo si muove rapidamente e in profondità. Ecco cosa è emerso dalle analisi di ReliaQuest su un attacco avvenuto a fine maggio:
- Scansione dei privilegi in Entra ID (ex Azure AD)
- Accesso ai file SharePoint per trovare informazioni sensibili
- Compromissione dell’infrastruttura virtuale (Horizon VDI)
- Violazione della VPN aziendale
- Accesso alla cassaforte CyberArk, con oltre 1.400 password rubate
- Creazione e riattivazione di macchine virtuali
- Eliminazione delle regole firewall Azure dopo essere stati scoperti
Una vera e propria strategia di terra bruciata, volta a fare più danni possibili una volta individuati.
Cosa devono fare le aziende?
Non è (solo) questione di strumenti. Serve un ripensamento dei processi interni, in particolare:
- Verificare attentamente l’identità di chi chiama i supporti IT
- Non concedere reset MFA o modifiche a numeri di telefono senza doppie conferme
- Formare i team con esempi concreti di attacchi di social engineering
Come dicono i ricercatori di sicurezza Alexa Feminella e James Xiang: “Il vero punto debole non sono i sistemi, ma la fiducia. Scattered Spider mostra quanto sia facile manipolare i processi aziendali se si conosce bene il comportamento umano.”
Conclusione
Scattered Spider rappresenta un cambio di paradigma nella cybersecurity: non colpisce solo i sistemi, ma sfrutta le dinamiche umane per infiltrarsi anche negli ambienti più protetti.
Nel mirino ora ci sono compagnie aeree, aeroporti e fornitori IT del settore trasporti, ma nessun settore può dirsi veramente al sicuro.
Il primo passo per difendersi non è acquistare l’ennesimo software, ma guardare ai propri processi con occhi nuovi. Perché in un mondo dove anche un finto CFO può ingannare un help desk, la prima vera barriera di sicurezza resta l’essere umano.
Facendola breve: hai presente quando da piccolo ti dicevano “non accettare caramelle dagli sconosciuti“? Vale anche per i link sui social e sulla tua casella di posta elettronica…
