Sommario
Il gruppo noto come Scattered Spider, tra i più attivi e sofisticati threat actor dell’ecosistema cybercriminale occidentale, ha subito un duro colpo con arresti nel Regno Unito che hanno momentaneamente interrotto le sue operazioni. L’azione, coordinata dalle autorità britanniche con il supporto dell’FBI e altri partner internazionali, rappresenta una svolta nel contrasto al gruppo identificato anche con gli alias UNC3944, Oktapus, Muddled Libra e Octo Tempest. Parallelamente, la CISA, insieme all’FBI e ad agenzie internazionali come l’ASD australiana e la RCMP canadese, ha pubblicato un nuovo advisory congiunto aggiornando le TTPs (tattiche, tecniche e procedure) associate al gruppo, includendo ora l’uso del ransomware DragonForce. Il documento pubblicato il 29 luglio 2025 dettaglia non solo i metodi consolidati del gruppo, ma anche l’evoluzione delle sue operazioni in seguito all’introduzione di payload criptanti e a nuovi schemi di social engineering avanzato.
Panoramica sulle attività del gruppo
Il gruppo Scattered Spider è attivo almeno dal 2023, con un modus operandi incentrato su estorsione dati, accessi non autorizzati e attacchi ransomware ibridi. In una prima fase le loro tecniche puntavano a campagne di phishing generiche, ma nel tempo si sono evolute in strategie mirate di spearphishing, combinando email, SMS e persino telefonate (vishing) per ottenere l’accesso iniziale ai sistemi. Le vittime tipiche sono grandi organizzazioni, in particolare nei settori telecomunicazioni, finanza e retail, dove l’impatto operativo può essere immediato e devastante. I principali vettori d’attacco si basano sull’impersonificazione di personale IT, l’abuso degli help desk aziendali e tecniche come il SIM swap e la push bombing, che mirano a bypassare sistemi MFA ormai diffusissimi ma non infallibili. L’advisory CISA mette in evidenza che le tecniche di impersonificazione sfruttano informazioni personali raccolte tramite ricognizione su social media, marketplace underground come Russia Market, e fonti OSINT. Con questi dati, gli attaccanti creano identità false e costruiscono siti SSO contraffatti, profili social falsi, e richieste ingannevoli di reset password indirizzate ai team helpdesk.
Il gruppo ha collaborato nel tempo con gang ransomware come BlackCat, e più recentemente ha adottato il ransomware DragonForce, che ha aggiunto una componente di crittografia diretta ai già rodati meccanismi di esfiltrazione. L’obiettivo è creare una pressione doppia sulle vittime: minacciando da un lato la diffusione dei dati sottratti, e dall’altro l’impossibilità di accedere ai propri sistemi.
Arresti nel Regno Unito e impatto operativo
Il 29 luglio 2025 segna una svolta nelle operazioni contro Scattered Spider. Le autorità britanniche, in stretto coordinamento con l’FBI, hanno arrestato quattro individui sospettati di far parte del gruppo, colpendo il suo nucleo operativo. Secondo quanto riferito da Charles Carmakal di Mandiant, subito dopo gli arresti si è osservata una interruzione delle intrusioni dirette e una riduzione dei tentativi di accesso noti. Gli arresti rappresentano un successo nell’ambito delle collaborazioni internazionali tra forze dell’ordine e rafforzano il ruolo della CISA e delle sue controparti come punto di riferimento per la difesa attiva. Tuttavia, come avviene spesso in questi casi, la fine operativa di una cellula non equivale alla dissoluzione della minaccia. Gruppi copycat come UNC6040 hanno già cominciato a replicare molte delle stesse tecniche, adattandole e persino raffinandole. La temporanea sospensione delle operazioni principali del gruppo offre alle organizzazioni colpite un’opportunità per rafforzare la propria postura di sicurezza. Diversi enti hanno avviato audit interni sui protocolli di accesso, formazione avanzata per gli help desk in tema di verifica dell’identità, e l’implementazione di MFA su token fisici, meno vulnerabili al SIM swapping e alla fatigue da notifiche.
Evoluzione delle TTPs e implicazioni tecniche
L’advisory congiunto mappa in modo dettagliato le tecniche di attacco del gruppo secondo il framework MITRE ATT&CK, fornendo così uno strumento utile per i team di threat hunting e incident response. Le tecniche chiave si concentrano sulla raccolta di dati personali, la creazione di identità digitali fittizie, la compromissione di account legittimi, e la manipolazione dei meccanismi di autenticazione. Particolarmente sofisticato è l’uso della manipolazione dei provider federati di autenticazione per registrare nuovi token MFA direttamente associati ai dispositivi degli attaccanti. Il gruppo impiega malware personalizzati come Ave Maria, Warzone RAT, Vidar, Raccoon Stealer e Ratty, spesso eseguiti attraverso strumenti ETL cloud e framework serverless per evitare rilevamento. L’esfiltrazione dei dati avviene quasi sempre tramite servizi di cloud storage come Mega, una scelta che riduce il tracciamento locale e ostacola la detection tradizionale. Uno dei casi più emblematici riguarda il targeting della piattaforma Snowflake, dove l’abuso massivo delle API ha permesso esfiltrazioni rapide di grandi volumi di dati. Le query anomale hanno rappresentato un chiaro indicatore di compromissione, oggi monitorato da diversi security team tramite rate limiting e logging avanzato. Il passaggio dall’estorsione pura alla doppia estorsione con crittografia finale dei sistemi, alimentata dall’uso di DragonForce ransomware, rappresenta un’evoluzione preoccupante. Questo codice malevolo è in grado di colpire ambienti complessi come ESXi hypervisor, aumentando l’efficacia dell’attacco e la probabilità di riscatto.
Reazioni della community e mitigazioni raccomandate
In risposta agli eventi, la community cybersecurity globale ha intensificato il lavoro di analisi condivisa. Gli indicatori di compromissione (IOC) legati al gruppo e ai suoi copycat sono stati integrati in feed SIEM e strumenti di threat intelligence. Le aziende più esposte stanno aggiornando le regole DNS per bloccare i domini phishing emergenti, come quelli che emulano portali SSO aziendali. Le misure più efficaci si stanno concentrando sull’implementazione di architetture zero-trust, sulla rimozione di credenziali legacy e sulla verifica manuale delle richieste di reset password. La disattivazione di UPnP, la segmentazione delle reti aziendali, e la formazione dei team su tecniche di impersonificazione completano il quadro. Le raccomandazioni operative si estendono anche agli ambienti cloud, dove è diventata prassi effettuare audit regolari dei tenant, rimuovere provider federati sospetti e monitorare le modifiche alle configurazioni MFA. La disconnessione periodica degli account inattivi, la rotazione delle credenziali e l’impiego di EDR per ambienti cloud-native sono misure sempre più adottate. Le autorità continuano a raccomandare il backup offline dei dati critici, la validazione manuale dei flussi di esfiltrazione, e l’adozione di criteri no pay in caso di ransomware, in linea con le policy di disincentivazione economica verso gli attori malevoli. La tecnica di social engineering che ha reso Scattered Spider così efficace è fondata sull’uso sistematico del SIM swap. L’accesso viene ottenuto convincendo un carrier a trasferire un numero di telefono, precedentemente associato a una vittima, verso un dispositivo controllato dall’attaccante. In questo modo si intercettano codici OTP, notifiche di autenticazione e perfino comunicazioni email in due passaggi. La procedura viene alimentata da dati PII ottenuti in fase di ricognizione, spesso integrati da chiamate vocali con impersonificazione. Le implicazioni tecniche sono gravi: la compromissione di un numero equivale all’eliminazione di un secondo fattore di sicurezza. Per questo motivo, gli esperti spingono verso autenticazione basata su app e token fisici, eliminando completamente la dipendenza da dispositivi telefonici. In risposta, diversi fornitori di servizi hanno aggiornato i propri protocolli con filtri antifrode per le richieste di cambio SIM, richiedendo verifiche multiple o in presenza fisica. L’adozione di queste contromisure mantiene fluida l’esperienza utente, ma eleva drasticamente la sicurezza.
