Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

Nuove Campagne Malevole di Scattered Spider: Una Minaccia in Crescita

Sandro Sana : 17 Maggio 2024 10:03

Il gruppo di attori di minacce Scattered Spider è responsabile di una serie di attacchi a diverse aziende nei settori della finanza e dell’assicurazione.

Chi è Scattered Spider?

Scattered Spider noto anche come UNC3944, Scatter Swine e Muddled Libra è un gruppo di attori di minacce che opera dal maggio 2022. Il gruppo è classificato come una minaccia persistente avanzata (APT), che conduce attacchi motivati finanziariamente. Il gruppo è specializzato in attacchi di tipo “adversary-in-the-middle” (AiTM), ingegneria sociale e tecniche di SIM-swapping. Queste tecniche consentono loro di intercettare le comunicazioni tra le vittime e i loro fornitori di servizi, rubare le credenziali degli utenti e ottenere l’accesso ai dati e agli asset aziendali sensibili.

Nel primo anno di attività, Scattered Spider ha preso di mira principalmente le aziende di telecomunicazioni, per accedere ai sistemi di gestione degli account cellulari e condurre attacchi di SIM-swapping contro altri obiettivi.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Il gruppo si distingue per il suo contatto spavaldo con le vittime; Scattered Spider è noto per chiamare i dipendenti delle organizzazioni vittime per ingannarli socialmente. Nell’estate del 2023, Scattered Spider ha cambiato il suo obiettivo e ha iniziato a collaborare con BlackCat/ALPHV per estorcere denaro a grandi e redditizie aziende come Caesars Entertainment e MGM Resorts. Scattered Spider ha continuato a prendere di mira grandi aziende e fornitori di telecomunicazioni, ma si differenzia per il fatto di mirare a vittime specifiche invece che attaccarle in modo opportunistico.

Scattered Spider: come riconoscere e prevenire i suoi attacchi AiTM

Uno dei metodi principali utilizzati da Scattered Spider per condurre i suoi attacchi AiTM è il phishing, ovvero l’invio di email fraudolente che sembrano provenire da fonti legittime. Il gruppo usa domini simili a quelli delle organizzazioni vittime, come caesarsentertainment[.]net o okta-services[.]com, per ingannare i destinatari e indurli a cliccare su link o allegati maligni. Questi link portano a pagine fasulle che imitano le interfacce di Okta o dei sistemi di gestione dei contenuti (CMS) usati dalle aziende. Se gli utenti inseriscono le loro credenziali in queste pagine, Scattered Spider le ruba e le usa per accedere ai sistemi della vittima.

Per difendersi da questo tipo di attacco, le aziende dovrebbero adottare le seguenti misure:

  • Controllare regolarmente e monitorare i domini simili a quelli della propria organizzazione, e segnalare quelli sospetti alle autorità competenti.
  • Addestrare i dipendenti a identificare i domini e le pagine di accesso simili, e a verificare sempre l’URL e il certificato SSL prima di inserire le proprie credenziali.
  • Educare i dipendenti sui rischi del phishing mirato, del smishing (ovvero il phishing tramite SMS) e del fishing (ovvero il phishing tramite telefonate), e incoraggiarli a segnalare qualsiasi tentativo sospetto al reparto IT.

Nella sua campagna contro Okta, Scattered Spider ha utilizzato le seguenti tecniche:

  • Phishing: Scattered Spider ha condotto campagne di spear phishing utilizzando domini simili a quelli dei loro obiettivi e li ha utilizzati per ospitare false pagine di login di Okta. Ad esempio, hanno utilizzato domini di phishing nel formato di “`victimname-sso[.]com`”, “`victimname-servicedesk[.]com`” e “`victimname-okta[.]com`”
  • Ingegneria sociale: Scattered Spider è noto per contattare i dipendenti delle organizzazioni vittime per ingannarli. Nella campagna Okta, gli aggressori avevano o le password degli account utente privilegiati o erano in grado di manipolare il flusso di autenticazione delegata tramite Active Directory (AD) prima di chiamare il servizio di assistenza IT presso un’organizzazione bersaglio, richiedendo un reset di tutti i fattori MFA nell’account bersaglio.
  • Evasione della rilevazione: Scattered Spider utilizza tattiche di fatica delle notifiche di autenticazione multifattore (MFA) per catturare codici OTP o sopraffare i bersagli.

Malware usati da Scattered Spider

WarzoneRAT

WarzoneRAT è un trojan di accesso remoto che consente agli attaccanti di controllare le macchine infette, eseguire comandi, rubare dati, catturare schermate, registrare audio e video, e installare ulteriori payload. WarzoneRAT viene distribuito tramite e-mail di phishing che contengono allegati infetti o link a siti web compromessi. Una volta eseguito, il malware si connette a un server di comando e controllo (C2) e attende le istruzioni degli attaccanti. WarzoneRAT ha diverse funzionalità, tra cui:

  • Keylogging: registra i tasti premuti dalle vittime e li invia al server C2.
  • File Manager: consente agli attaccanti di visualizzare, modificare, eliminare, caricare e scaricare i file dalle macchine infette.
  • Process Manager: consente agli attaccanti di visualizzare, terminare e avviare i processi in esecuzione sulle macchine infette.
  • Remote Desktop: consente agli attaccanti di accedere al desktop delle vittime e controllarlo da remoto.
  • Remote Shell: consente agli attaccanti di eseguire comandi arbitrari sulle macchine infette tramite una shell remota.
  • Webcam Capture: consente agli attaccanti di accedere alla webcam delle vittime e catturare immagini e video.
  • Microphone Capture: consente agli attaccanti di accedere al microfono delle vittime e registrare l’audio.
  • Clipboard Manager: consente agli attaccanti di visualizzare e modificare il contenuto degli appunti delle vittime.
  • Password Stealer: consente agli attaccanti di rubare le password salvate dai browser, dai client di posta elettronica e da altri programmi.
  • Persistence: consente al malware di sopravvivere ai riavvii del sistema e di nascondersi dalle soluzioni antivirus.

BlackCat

BlackCat è un ransomware che crittografa i file delle vittime con un algoritmo AES-256 e richiede un riscatto in Bitcoin per la chiave di decrittografia. BlackCat viene distribuito tramite WarzoneRAT, che lo scarica e lo esegue sulle macchine infette. Una volta eseguito, il ransomware inizia a crittografare i file con determinate estensioni, tra cui documenti, immagini, video, audio, archivi e database.

Il ransomware aggiunge l’estensione .blackcat ai file crittografati e crea un file di testo chiamato HOW_TO_DECRYPT.txt in ogni cartella. Il file di testo contiene il messaggio degli attaccanti, che richiede alle vittime di contattarli tramite e-mail o Telegram e di pagare un riscatto variabile in Bitcoin per ricevere la chiave di decrittografia. Il ransomware minaccia anche di cancellare i file delle vittime se non pagano entro un certo periodo di tempo o se provano a ripristinarli con altri mezzi.

Tool usati da Scattered Spider

Oltre ai malware, Scattered Spider usa anche diversi tool per facilitare le sue operazioni di hacking. Tra questi, si possono citare:

  • ngrok: uno strumento che consente di creare tunnel sicuri verso le macchine infette, bypassando i firewall e i dispositivi di rete.
  • Mimikatz: uno strumento che consente di estrarre le credenziali di accesso dal sistema operativo Windows, sfruttando le vulnerabilità del processo LSASS.
  • LaZagne: uno strumento che consente di recuperare le password salvate da diversi programmi, tra cui browser, client di posta elettronica, gestori di password e altro.
  • Impacket: una raccolta di script Python che consente di manipolare i protocolli di rete, tra cui SMB, Kerberos, MSRPC e altro.

Attack Patterns usati da Scattered Spider

Per realizzare questo attacco, Scattered Spider segue gli attack patterns seguenti:

  • T1585: Acquisizione di credenziali. Gli attaccanti cercano di ottenere le credenziali degli utenti o degli amministratori tramite phishing, keylogging o altri metodi.
  • T1589: Attacco tramite posta elettronica. Gli attaccanti inviano email fraudolente contenenti allegati o link maliziosi a destinatari selezionati in base al loro ruolo o alla loro posizione nella gerarchia aziendale.
  • T1666: Creazione di account. Gli attaccanti creano nuovi account o modificano quelli esistenti per avere accesso ai sistemi o alle risorse della vittima.
  • T1602: Esecuzione di codice remoto. Gli attaccanti eseguono codice arbitrario sulle macchine compromesse tramite la vulnerabilità CVE-2024-22024 o altre tecniche.
  • T1606: Installazione di backdoor. Gli attaccanti installano programmi o script che consentono loro di accedere in modo persistente e nascosto ai sistemi infetti.
  • T1588: Impostazione dell’infrastruttura di comando e controllo. Gli attaccanti stabiliscono una comunicazione bidirezionale tra le macchine infette e i propri server, tramite protocolli comuni come HTTP, HTTPS o DNS.
  • T1586: Raccolta di informazioni sensibili. Gli attaccanti cercano di raccogliere e rubare dati personali, finanziari o aziendali dalle macchine infette, come documenti, credenziali, chiavi di crittografia o registri di attività.
  • T1598: Cancellazione o modifica dei dati. Gli attaccanti cancellano o modificano i dati presenti sulle macchine infette, per nascondere le proprie tracce, danneggiare la vittima o chiedere un riscatto.

Settori di interesse di Scattered Spider

Gli attaccanti di Scattered Spider hanno dimostrato una preferenza per i settori delle telecomunicazioni, della finanza, dell’assicurazione, della tecnologia e del retail. Questi settori sono spesso più vulnerabili agli attacchi informatici, in quanto gestiscono grandi quantità di dati sensibili e dipendono da sistemi complessi e interconnessi. Tra i target italiani più noti di Scattered Spider ci sono le seguenti aziende:

  • Telecom Italia, una delle principali compagnie telefoniche italiane, che ha subito un attacco di ransomware nel 2017, con la richiesta di 20.000 euro in bitcoin per il ripristino dei dati.
  • Banca Monte dei Paschi di Siena, la più antica banca al mondo, che ha subito un attacco di phishing nel 2019, con il furto di dati personali e bancari di migliaia di clienti.
  • AXA, una delle più grandi compagnie assicurative al mondo, che ha subito un attacco di DDoS nel 2020, con la paralisi dei suoi siti web e servizi online in diversi paesi europei.
  • Microsoft, una delle più importanti aziende tecnologiche al mondo, che ha subito un attacco di supply chain nel 2020, con la compromissione del suo software SolarWinds Orion e la diffusione di malware a molte altre organizzazioni.
  • Carrefour, una delle più grandi catene di supermercati al mondo, che ha subito un attacco di skimming nel 2020, con il furto di dati di carte di credito di milioni di clienti.

Conclusioni

Questi sono solo alcuni esempi di come il gruppo di hacker Scattered Spider abbia condotto una campagna di phishing su larga scala, sfruttando le vulnerabilità di Okta e CMS per accedere ai dati sensibili di numerose organizzazioni. L’obiettivo della campagna era quello di estorcere denaro, informazioni o servizi alle vittime, minacciando di esporre i loro dati o di compromettere ulteriormente i loro sistemi. La campagna ha dimostrato la sofisticazione e l’audacia degli attaccanti, che hanno saputo adattarsi rapidamente alle contromisure e cambiare le loro tattiche.

La gravità di questa campagna è evidenziata dal fatto che gli hacker sono riusciti a ottenere una quantità enorme di credenziali degli utenti, che potrebbero essere usate per accedere ad altre piattaforme o servizi. Si teme che queste credenziali possano essere presto pubblicate o vendute nel dark web, esponendo le vittime a ulteriori rischi e danni. Per prevenire e contrastare questo tipo di attacchi, è necessario rafforzare la sicurezza informatica, sensibilizzare gli utenti e collaborare tra le varie entità coinvolte.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin
Di Simone D'Agostino - 23/07/2025

Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...

Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari
Di Redazione RHC - 23/07/2025

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...

Red Hot Cyber Conference 2026. La Quinta edizione a Roma lunedì 18 e martedì 19 Maggio
Di Redazione RHC - 23/07/2025

La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...

Boom di cyberattacchi in Europa! Ogni 3 minuti un’azienda viene colpita
Di Redazione RHC - 23/07/2025

Con la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...

Arriva LameHug: il malware che utilizza l’AI per rubare i dati sui sistemi Windows
Di Redazione RHC - 22/07/2025

La nuova famiglia di malware LameHug utilizza il Large Language Model (LLM) per generare comandi che vengono eseguiti sui sistemi Windows compromessi. Come riportato da Bleeping Computer, LameHug ...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006