Redazione RHC : 28 Luglio 2025 14:44
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei trasporti e delle assicurazioni. Questi attacchi non sfruttano le vulnerabilità software tradizionali, ma dimostrano invece una padronanza di tecniche di ingegneria sociale che consentono loro di bypassare anche i sistemi più sicuri.
Secondo il Google Threat Intelligence Group, la fase iniziale dell’attacco si basa sull’impersonare un dipendente aziendale in una conversazione con il servizio di supporto IT. L’aggressore riesce a modificare la password dell’utente in Active Directory, ottenendo così l’accesso iniziale alla rete interna. Successivamente, inizia la ricerca di preziosa documentazione tecnica e di account chiave, principalmente amministratori di dominio e dell’ambiente VMware vSphere, nonché membri di gruppi con diritti estesi.
Parallelamente, viene eseguita la scansione per rilevare la presenza di soluzioni di classe PAM (Privileged Access Management) che possono contenere dati sensibili e contribuire all’ulteriore avanzamento dell’infrastruttura. Dopo aver ottenuto i nomi degli utenti privilegiati, gli aggressori effettuano ripetute chiamate, fingendosi amministratori, e avviano nuovamente la reimpostazione della password, ma questa volta per impossessarsi dell’accesso privilegiato.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Il passo successivo consiste nell’ottenere il controllo del server di gestione dell’ambiente virtuale (vCSA) VMware vCenter, che gestisce l’intera architettura ESXi e le macchine virtuali sugli host fisici. Ottenuto questo livello di accesso, gli aggressori abilitano SSH sugli host ESXi, reimpostano le password di root e procedono a condurre un cosiddetto attacco di sostituzione del disco virtuale.
La tecnica prevede la chiusura di un controller di dominio, lo scollegamento del suo disco virtuale e il suo collegamento a un’altra macchina virtuale controllata. Lì, gli hacker copiano il file NTDS.dit, ovvero il database di Active Directory con hash delle password, quindi restituiscono il disco e accendono la macchina originale. Questo approccio consente di estrarre dati critici senza destare sospetti a livello di evento del sistema operativo.
Con il pieno controllo sulla virtualizzazione, gli aggressori ottengono anche l’accesso ai sistemi di backup. Cancellano le pianificazioni, eliminano gli snapshot e distruggono gli archivi di backup. La fase finale dell’attacco consiste nell’implementazione di crittografi tramite connessioni SSH su tutte le macchine virtuali presenti negli archivi. Il risultato è la crittografia di massa dei dati e la completa perdita di controllo da parte dell’organizzazione.
Google descrive l’architettura dell’attacco in cinque fasi: dall’ingegneria sociale alla presa di controllo dell’intera infrastruttura ESXi. In pratica, l’intera catena, dalla prima chiamata al supporto fino all’implementazione del ransomware, può richiedere solo poche ore. In particolare, questi attacchi non sfruttano exploit di vulnerabilità, ma la loro efficacia è così elevata che gli hacker riescono a bypassare la maggior parte delle protezioni integrate.
Un approccio simile era già stato utilizzato da Scattered Spider durante l’incidente di alto profilo che ha coinvolto MGM Resorts nel 2023. Oggi, sempre più gruppi stanno adottando queste tattiche. Uno dei motivi è la scarsa conoscenza delle infrastrutture VMware da parte di molte organizzazioni e, di conseguenza, un livello di protezione insufficiente.
Per mitigare il rischio, Google ha pubblicato una guida tecnica incentrata su tre aree principali:
Il gruppo Scattered Spider, noto anche come UNC3944, Octo Tempest o 0ktapus, è uno dei più pericolosi al mondo . Si distingue per la sua capacità di attuare una sottile imitazione sociale: gli aggressori non si limitano a copiare i modelli linguistici dei dipendenti, ma ne riproducono anche la pronuncia, il vocabolario e il modo di comunicare. Nonostante i recenti arresti di quattro presunti membri nel Regno Unito, l’attività del gruppo non si è fermata. Anzi, negli ultimi mesi, i suoi attacchi sono diventati sempre più audaci e su larga scala.
RedazioneUna complessa operazione di attacco è stata individuata recentemente, nella quale gli aggressori digitali utilizzano la struttura di protezione Cisco per eseguire manovre di inganno online. I mal...
A cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...
Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
