Sommario
Nel settore delle compagnie assicurative statunitensi emerge un nuovo capitolo degli attacchi del collettivo hacker Scattered Spider, identificato da Google Threat Intelligence. Nel frattempo il Dipartimento di Giustizia USA ha confiscato 7,74 milioni di dollari in criptovalute collegate a un’organizzazione nordcoreana che impiegava falsi lavoratori IT per finanziare traffici illeciti.
Difesa del settore assicurativo USA
Scattered Spider ha orientato i suoi sforzi verso help desk e call center assicurativi, usando phishing mirato, SIM swapping e MFA fatigue per ottenere credenziali privilegiate e avviare attacchi ransomware come DragonForce. Questi metodi di ingegneria sociale hanno già causato disservizi prolungati in strutture come Erie Insurance e Philadelphia Insurance. Google evidenzia che il gruppo mantiene una strategia settoriale, passando da rivenditori UK/US al mondo assicurativo, e consiglia di rafforzare l’autenticazione e migliorare le verifiche su chiamate e SMS.
Tecniche operative e vulnerabilità sfruttate
Il collettivo miscela sofisticazione tecnica e manipolazione psicologica. SMS e chiamate a operatori help desk inducono reset MFA involontari, mentre il phishing avviene tramite email o portali falsi che replicano servizi come Okta o Salesforce. Una volta ottenuto l’accesso con tool remoti, procede al deployment del ransomware, sfruttando la fragilità delle soluzioni MFA tradizionali.
Impatto su consumatori e reputazione aziendale
Le intrusioni provocano interruzioni nell’erogazione di polizze, indisponibilità dei portali utenti e possibili furti di dati sensibili. Ciò espone le compagnie a estorsioni, contenziosi legali e un deterioramento della fiducia da parte del cliente. Attacchi simili nel retail hanno generato perdite di centinaia di milioni di euro, a dimostrazione della gravità del rischio anche nel settore assicurativo.
Sequestro crypto e minaccia nordcoreana
Il DOJ ha avviato il sequestro di criptovalute e NFT per un valore di 7,74 M$, collegati a Sim Hyon Sop e a una rete nordcoreana che utilizzava falsi contratti IT per il riciclaggio. Le transazioni tracciate tra agosto 2021 e marzo 2023 mostravano flussi da wallet individuali a conti presso la Foreign Trade Bank della Corea del Nord, evidenziando l’uso del lavoro remoto come veicolo per eludere sanzioni.
Implicazioni per compliance e antiriciclaggio
Questa operazione dimostra la capacità investigativa delle autorità nel tracciamento blockchain, ma indica anche la necessità di rafforzare i controlli KYC/AML. Le piattaforme crypto devono intensificare le verifiche identitarie, adottare sistemi di monitoraggio transazionale avanzati e instaurare canali collaborativi con le agenzie governative.
Strategie di protezione consigliate
Nel settore assicurativo diventa cruciale adottare modelli di autenticazione avversari a phishing, come chiavi hardware o app certificate, segmentare accessi privilegiati e isolare reti critiche. Monitoring continuo, logging centralizzato con supporto IA e training realisti in social engineering rappresentano componenti fondamentali di una difesa moderna.
Nel campo crypto le piattaforme devono implementare analytics on-chain per profilare wallet a rischio, automatizzare sospensioni e segnalazioni, garantendo una risposta tempestiva a transazioni sospette e minimizzando il rischio di reimmissione illegale di fondi verso la Corea del Nord.
Per contrastare efficacemente Scattered Spider è necessario un sistema capace di identificare automaticamente pattern sospetti sui reset MFA, correlare l’accesso utente con alert centralizzati e attivare verifica esterna per reset credenziali. Sul fronte crypto serve un’architettura che combini analytics blockchain, sospensioni automatiche e segnalazioni proattive, garantendo tracciabilità e risposta rapida.
