Redazione RHC : 28 Luglio 2025 14:44
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei trasporti e delle assicurazioni. Questi attacchi non sfruttano le vulnerabilità software tradizionali, ma dimostrano invece una padronanza di tecniche di ingegneria sociale che consentono loro di bypassare anche i sistemi più sicuri.
Secondo il Google Threat Intelligence Group, la fase iniziale dell’attacco si basa sull’impersonare un dipendente aziendale in una conversazione con il servizio di supporto IT. L’aggressore riesce a modificare la password dell’utente in Active Directory, ottenendo così l’accesso iniziale alla rete interna. Successivamente, inizia la ricerca di preziosa documentazione tecnica e di account chiave, principalmente amministratori di dominio e dell’ambiente VMware vSphere, nonché membri di gruppi con diritti estesi.
Parallelamente, viene eseguita la scansione per rilevare la presenza di soluzioni di classe PAM (Privileged Access Management) che possono contenere dati sensibili e contribuire all’ulteriore avanzamento dell’infrastruttura. Dopo aver ottenuto i nomi degli utenti privilegiati, gli aggressori effettuano ripetute chiamate, fingendosi amministratori, e avviano nuovamente la reimpostazione della password, ma questa volta per impossessarsi dell’accesso privilegiato.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il passo successivo consiste nell’ottenere il controllo del server di gestione dell’ambiente virtuale (vCSA) VMware vCenter, che gestisce l’intera architettura ESXi e le macchine virtuali sugli host fisici. Ottenuto questo livello di accesso, gli aggressori abilitano SSH sugli host ESXi, reimpostano le password di root e procedono a condurre un cosiddetto attacco di sostituzione del disco virtuale.
La tecnica prevede la chiusura di un controller di dominio, lo scollegamento del suo disco virtuale e il suo collegamento a un’altra macchina virtuale controllata. Lì, gli hacker copiano il file NTDS.dit, ovvero il database di Active Directory con hash delle password, quindi restituiscono il disco e accendono la macchina originale. Questo approccio consente di estrarre dati critici senza destare sospetti a livello di evento del sistema operativo.
Con il pieno controllo sulla virtualizzazione, gli aggressori ottengono anche l’accesso ai sistemi di backup. Cancellano le pianificazioni, eliminano gli snapshot e distruggono gli archivi di backup. La fase finale dell’attacco consiste nell’implementazione di crittografi tramite connessioni SSH su tutte le macchine virtuali presenti negli archivi. Il risultato è la crittografia di massa dei dati e la completa perdita di controllo da parte dell’organizzazione.
Google descrive l’architettura dell’attacco in cinque fasi: dall’ingegneria sociale alla presa di controllo dell’intera infrastruttura ESXi. In pratica, l’intera catena, dalla prima chiamata al supporto fino all’implementazione del ransomware, può richiedere solo poche ore. In particolare, questi attacchi non sfruttano exploit di vulnerabilità, ma la loro efficacia è così elevata che gli hacker riescono a bypassare la maggior parte delle protezioni integrate.
Un approccio simile era già stato utilizzato da Scattered Spider durante l’incidente di alto profilo che ha coinvolto MGM Resorts nel 2023. Oggi, sempre più gruppi stanno adottando queste tattiche. Uno dei motivi è la scarsa conoscenza delle infrastrutture VMware da parte di molte organizzazioni e, di conseguenza, un livello di protezione insufficiente.
Per mitigare il rischio, Google ha pubblicato una guida tecnica incentrata su tre aree principali:
Il gruppo Scattered Spider, noto anche come UNC3944, Octo Tempest o 0ktapus, è uno dei più pericolosi al mondo . Si distingue per la sua capacità di attuare una sottile imitazione sociale: gli aggressori non si limitano a copiare i modelli linguistici dei dipendenti, ma ne riproducono anche la pronuncia, il vocabolario e il modo di comunicare. Nonostante i recenti arresti di quattro presunti membri nel Regno Unito, l’attività del gruppo non si è fermata. Anzi, negli ultimi mesi, i suoi attacchi sono diventati sempre più audaci e su larga scala.
RedazioneIl gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...
Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzat...
Il 13 giugno 2025 Israele bombarda un centinaio di obiettivi militari e gli impianti nucleari iraniani di Natanz, Fordow e Isfahan in un raid calcolato nei minimi dettagli. L’operazione “...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
