kairos scattered spider

Kairos incassa un milione da un ente USA mentre Scattered Spider perde pezzi

🛡️ Executive Summary

  • Kairos estorce circa 1 milione di dollari a un ente governativo USA senza usare ransomware cifrante.
  • L’attacco si basa su furto dati, brute force, negoziazione via Tor e pagamento tracciato in Bitcoin.
  • Le autorità estradano Peter Stokes, sospetto membro di Scattered Spider, nel quadro della pressione sul gruppo.

La nuova fase dell’estorsione cyber non passa necessariamente dalla cifratura dei sistemi. Il caso Kairos contro un ente governativo statunitense, identificato da più elementi come Union County in Ohio, mostra un modello ormai consolidato: accesso iniziale, esfiltrazione massiva, minaccia di pubblicazione e negoziazione economica senza alcun encryptor. L’ente avrebbe pagato circa 1 milione di dollari in Bitcoin dopo il furto di oltre 2 terabyte di dati sensibili, inclusi elementi personali e amministrativi relativi a residenti e dipendenti. In parallelo, le autorità statunitensi intensificano la pressione su Scattered Spider con l’estradizione dalla Finlandia di Peter Stokes, cittadino statunitense ed estone di 19 anni, accusato di partecipazione a intrusioni informatiche, frode e cospirazione. Le due vicende fotografano una minaccia cyber sempre più ibrida: da un lato gruppi di data extortion che monetizzano il danno reputazionale, dall’altro collettivi giovani, aggressivi e specializzati in social engineering contro grandi organizzazioni.

Kairos usa data extortion senza cifrare i sistemi

L’attacco attribuito a Kairos si distingue per l’assenza di un payload ransomware tradizionale. Non risultano macchine cifrate, locker distribuiti o richieste di chiavi di decrittazione. Gli aggressori avrebbero invece sottratto silenziosamente circa 1,6 milioni di file, costruendo la leva estorsiva sulla minaccia di pubblicare documenti sensibili. Questo modello riduce la visibilità operativa iniziale rispetto a un attacco cifrante, perché l’organizzazione può continuare a funzionare mentre l’esfiltrazione è già avvenuta. L’impatto si sposta quindi dalla continuità dei servizi alla riservatezza dei dati, alla responsabilità legale, alla reputazione pubblica e alla gestione delle notifiche agli interessati. Le informazioni coinvolte includerebbero numeri di previdenza sociale, dettagli finanziari, impronte digitali e dati di passaporto, un insieme particolarmente grave per un ente locale con risorse difensive inferiori rispetto a grandi agenzie federali o aziende critiche. La rivendicazione di un accesso tramite brute force sulle credenziali conferma che molte operazioni ad alto impatto continuano a partire da controlli di base insufficienti: password deboli, assenza di MFA, esposizione di servizi remoti e monitoraggio incompleto dei tentativi di autenticazione.

La negoziazione mostra un copione estorsivo maturo

La trattativa tra l’ente colpito e Kairos segue un pattern ormai riconoscibile nel cybercrime estorsivo. Il gruppo avrebbe aperto con una richiesta di circa 3 milioni di dollari, facendo leva sul volume dei dati sottratti e sulla sensibilità dei materiali. L’ente avrebbe risposto con una controfferta iniziale di 100.000 dollari, poi progressivamente aumentata fino a 430.000 dollari, mentre Kairos riduceva l’importo richiesto. La chiusura sarebbe arrivata il 13 giugno 2025 con un pagamento di circa 9,44 Bitcoin, pari a circa 1 milione di dollari al valore del momento. Questa dinamica mostra quanto le negoziazioni ransomware e data-only extortion siano ormai procedure quasi commerciali, con ancore alte, concessioni progressive, scadenze ravvicinate e pressione psicologica. Il canale di trattativa su Tor, l’uso di email onionmail.com, la pubblicazione di sample tramite servizi temporanei e la minaccia di caricare i file più sensibili sul leak site servono a creare urgenza e dimostrare capacità. L’obiettivo non è soltanto ottenere il pagamento, ma convincere la vittima che il mancato accordo produrrà danni superiori al riscatto.

Il pagamento in Bitcoin lascia tracce ma non garanzie

Il pagamento a Kairos conferma un paradosso tipico delle estorsioni in criptovaluta. Da un lato, Bitcoin offre agli attaccanti trasferimenti rapidi, internazionali e difficili da bloccare in tempo reale. Dall’altro, la blockchain lascia una traccia pubblica analizzabile. I fondi sarebbero stati rapidamente suddivisi e instradati verso wallet collegati a exchange come Bybit, OKX e al servizio russo BELQI, generando potenziali lead investigativi ma non un’identificazione immediata degli operatori.

image 114
Panoramica dell’incidente di estorsione dati di Kairos, inclusi il volume dei dati richiesti, la richiesta di riscatto, l’esito della negoziazione e i punti salienti del flusso di pagamento.

Il punto più debole resta però la cosiddetta prova di cancellazione. Dopo il pagamento, Kairos avrebbe fornito un file che mostrava soltanto nomi di file cancellati, senza una prova crittografica verificabile della distruzione effettiva dei dati. In termini operativi, questo significa che la vittima paga per una promessa non controllabile. Gli attaccanti possono conservare copie, rivenderle, perderne il controllo o riutilizzarle in future campagne. Per enti pubblici e aziende, la decisione di pagare non elimina quindi il problema della notifica, del rischio legale e della possibile riemersione dei dati. Riduce, al massimo, la probabilità immediata di pubblicazione da parte dello stesso gruppo.

Kairos evidenzia la vulnerabilità degli enti locali

Il caso attribuito a Union County mostra perché gli enti locali siano bersagli ideali per la data extortion. Gestiscono grandi quantità di informazioni personali, finanziarie, giudiziarie e amministrative, ma spesso dispongono di budget, personale e capacità di risposta inferiori rispetto a grandi organizzazioni private. L’eventuale esposizione di materiali collegati a uffici del pubblico ministero, documenti di identità, dati biometrici e informazioni su dipendenti crea una pressione politica immediata. A differenza di un’interruzione tecnica, che può essere misurata in ore di downtime, la perdita di dati produce effetti lunghi: comunicazioni ai cittadini, servizi di monitoraggio identità, cause collettive, audit esterni, controlli dei regolatori e danno reputazionale.

image 115
Raccomandazioni di sicurezza fornite da Kairos e artefatto del file di eliminazione dichiarato, condiviso dopo il pagamento.

Kairos avrebbe persino fornito raccomandazioni di sicurezza alla vittima, un comportamento ormai frequente nei gruppi di estorsione, che cercano di presentarsi come “revisori ostili” invece che come criminali. Questa narrativa non cambia la sostanza dell’operazione: accesso non autorizzato, furto massivo e monetizzazione della paura di divulgazione. Per gli enti locali, la difesa deve partire da MFA obbligatoria, protezione degli accessi remoti, logging centralizzato, segmentazione dei repository sensibili e simulazioni di crisi sulla pubblicazione dei dati.

Scattered Spider subisce un nuovo colpo giudiziario

Annuncio

Mentre il caso Kairos mostra il peso crescente della data-only extortion, l’estradizione di Peter Stokes riporta l’attenzione su Scattered Spider, collettivo noto anche come Octo Tempest, UNC3944 e 0ktapus. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato l’estradizione dalla Finlandia di Stokes, 19 anni, cittadino duale statunitense ed estone, accusato di cospirazione, intrusione informatica e frode. Secondo gli atti, il sospetto avrebbe partecipato ad almeno quattro intrusioni, una delle quali quando aveva 16 anni. Uno degli episodi contestati riguarda un rivenditore di gioielli di lusso colpito nel maggio 2025, con copia dei dati e richiesta di circa 8 milioni di dollari in criptovalute. La vittima avrebbe rifiutato il pagamento, espulso gli intrusi e sostenuto costi di bonifica di almeno 2 milioni di dollari. L’arresto in Finlandia, seguito a una Red Notice Interpol, e la comparizione davanti al tribunale federale di Chicago si inseriscono in una strategia investigativa più ampia contro membri, infrastrutture e reti finanziarie collegate al gruppo.

Il modello Scattered Spider resta fondato sul social engineering

La pericolosità di Scattered Spider non deriva solo da malware sofisticati, ma dalla capacità di manipolare processi umani. Il gruppo è noto per telefonate agli help desk IT, impersonificazione di dipendenti, reset fraudolenti di password, aggiramento dell’MFA, SIM swap, accesso a strumenti di amministrazione e rapida esfiltrazione dei dati. Questa metodologia ha colpito grandi organizzazioni perché sfrutta la pressione operativa sui team di supporto: un utente “bloccato”, un dirigente in viaggio, una richiesta urgente di reset o un accesso da ripristinare. Gli attacchi contro MGM Resorts e Caesars Entertainment nel 2023, così come le campagne contro retailer britannici e altre aziende nel 2025, hanno mostrato l’efficacia di questa combinazione tra social engineering, accesso cloud e abuso di identità. Secondo le autorità statunitensi, il gruppo sarebbe collegato a oltre 100 intrusioni e a più di 100 milioni di dollari in riscatti. L’età dei membri sospetti non riduce la minaccia: anzi, evidenzia come community online, reputazione criminale, manuali operativi condivisi e strumenti accessibili possano trasformare attori molto giovani in operatori capaci di causare danni su scala enterprise.

Estorsione dati e social engineering convergono

I casi Kairos e Scattered Spider sembrano diversi, ma convergono su un punto: l’elemento centrale dell’estorsione moderna è il controllo dell’informazione. Nel primo caso gli attaccanti non cifrano nulla, ma monetizzano la minaccia di pubblicazione. Nel secondo, l’accesso iniziale può nascere da una telefonata convincente e trasformarsi in furto di dati, pressione reputazionale e richiesta di riscatto. La crittografia dei sistemi resta un rischio importante, ma non è più necessaria per costringere una vittima a negoziare. Questo cambia le priorità difensive. Backup e recovery restano fondamentali, ma non bastano contro data extortion pura. Le organizzazioni devono sapere quali dati possiedono, dove risiedono, chi può accedervi, come vengono monitorati i download massivi e quali segnali indicano compressione, staging o trasferimento verso servizi esterni. La prevenzione deve includere controlli sugli accessi privilegiati, rilevamento di brute force, protezioni anti-impersonificazione sugli help desk, policy severe per reset MFA, canali di verifica fuori banda e formazione realistica contro tecniche telefoniche. In assenza di questi controlli, anche organizzazioni con backup solidi possono trovarsi sotto ricatto.

Le prove di cancellazione non risolvono il rischio

Uno degli errori più pericolosi nella gestione della data extortion è trattare il pagamento come una bonifica. Una volta che 2 terabyte di dati hanno lasciato l’ambiente, l’organizzazione non può dimostrare che tutte le copie siano state distrutte. File list, screenshot, video di cancellazione o promesse contrattuali dei criminali non hanno valore tecnico sufficiente. Per questo i piani di incident response devono prevedere lo scenario peggiore: dati già copiati, potenzialmente rivenduti e destinati a riemergere. La risposta corretta include analisi forense dell’accesso iniziale, contenimento delle credenziali compromesse, rotazione dei segreti, valutazione legale, preparazione delle notifiche, assistenza agli interessati e monitoraggio di leak site, forum e canali criminali. Nel caso degli enti pubblici, serve anche una comunicazione trasparente verso cittadini e dipendenti, perché l’occultamento del pagamento o del perimetro dei dati può aggravare la perdita di fiducia. La tracciabilità blockchain aiuta le indagini, ma non protegge le vittime dall’impatto immediato dell’esposizione.

Difese operative per enti pubblici e aziende

La lezione operativa è diretta. Contro gruppi come Kairos, gli enti devono impedire l’accesso iniziale con MFA resistente al phishing, blocco dei tentativi brute force, password policy robuste, riduzione delle superfici esposte e monitoraggio dei login anomali. Devono inoltre rilevare l’esfiltrazione con controlli su volumi di trasferimento, creazione di archivi, accesso massivo a share file, uso di strumenti cloud non autorizzati e connessioni verso servizi temporanei. Contro gruppi come Scattered Spider, invece, il punto critico è l’identità: procedure di help desk con verifica forte, divieto di reset basati solo su informazioni personali, approvazioni multiple per modifiche MFA, logging delle chiamate e tabletop exercise su scenari di impersonificazione. Le organizzazioni devono preparare in anticipo playbook per negoziazione, comunicazione pubblica e coinvolgimento delle forze dell’ordine. La pressione giudiziaria su Scattered Spider dimostra che l’attribuzione e gli arresti sono possibili, ma non sufficienti a ridurre il rischio nel breve periodo. La difesa resta locale, continua e basata su controlli concreti. L’estorsione cyber sta diventando più semplice nella tecnica finale, ma più efficace nella leva psicologica: rubare dati, dimostrare possesso, fissare una scadenza e costringere la vittima a scegliere tra pagamento e pubblicazione.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto