Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

ragno spider malware

Alla scoperta di Scattered Spider: la minaccia criminale che utilizza tattiche e tecniche avanzate

Redazione RHC : 16 Luglio 2025 07:17

A cura del Cyber Defence Center Maticmind (Andrea Mariucci, Riccardo Michetti, Federico Savastano, Ada Spinelli)

Il threat actor SCATTERED SPIDER, UNC9344 fa la sua comparsa nel 2022, con due attacchi mirati ai casinò Caesars e MGM. Afferente al gruppo informale “The Com”, UNC3944 è noto per le sue sofisticate tattiche di social engineering e la capacità di navigare negli ambienti cloud.

SCATTERED SPIDER utilizza una varietà di tecniche per ottenere l’accesso ai sistemi delle vittime, tra cui il furto di credenziali amministrative attraverso attacchi di phishing via e-mail, SMS, SIM swapping e impersonation di personale IT/helpdesk, nonché software legittimi come AnyDesk e ScreenConnect per mantenere la persistenza.

Il gruppo è anche noto per l’uso di ransomware come BlackCat/ALPHV e tecniche di Bring Your Own Vulnerable Driver (BYOVD) per evadere i software di sicurezza. BlackCat, gruppo ransomware russofono, ha dato vita a una partnership con Scattered Spider, dando loro accesso al proprio ransomware.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Nonostante alcuni arresti tra il 2024 e il 2025, gli attacchi SCATTERED SPIDER ha mostrato una notevole resilienza, anche grazie alla sua capacità di costruire alleanze con gruppi cybercriminali afferenti alla galassia russa, fattore che contribuisce a rendere il gruppo una delle minacce più significative nel panorama attuale.

Scheda del Threat Actors

  • Denominazione Principale: SCATTERED SPIDER
  • Alias: – UNC3944, Scatter Swine, Star Fraud, Octo Tempest, e Muddled Libra, Oktapus, Storm-0971, DEV-0971
  • Classificazione: Collettivo cybercriminale decentralizzato
  • Prima rilevazione: 2022
  • Stato Attuale: Attivo a giugno 2025, con attività recenti rivolte al settore aereo
  • Composizione: Principalmente individui madrelingua inglese. Alcuni membri arrestati da FBI e Polizia del Regno Unito erano residenti con un’età inferiore ai venticinque anni.
  • Membri noti: Tyler Buchanan, 22, Scozia; Ahmed Elbadawy, 23, US; Joel Evans, US; Evans Osiebo, 20, US; Noah Urban, 20, US; Remington Ogletree, 19, US.
  • Affiliazioni: Ha stretto accordi di collaborazione con gruppi ransomware russi come BlackCat/ALPHV, Dragonforce e Qilin, effettuando deployment dei rispettivi ransomware. Scattered Spider è associato a “The Com”, una comunità cybercriminale decentrata, lapsus.

Motivazioni e Obiettivi

  • Obiettivo primario: Finanziario
    Scattered Spider è principalmente motivato da obiettivi finanziari, conducendo attività come estorsione di dati, furto di criptovalute e attacchi ransomware.
  • Motivazione Geopolitica: Assente
    Il focus del gruppo su vittime anglofone sembra derivare da vantaggi linguistici nelle tattiche di social engineering e impersonificazione. Sebbene esistano collaborazioni con cybercriminali russi come BlackCat/ALPHV, queste appaiono opportunistiche piuttosto che guidate da motivazioni ideologiche.
  • Valore strategico: Colpendo settori ad alto profilo come telecomunicazioni, tecnologia, trasporti, retail e infrastrutture critiche, Scattered Spider si è affermato come un threat actor avanzato. La sua expertise lo rende attraente per entità ostili interessate a sfruttarne le capacità.

Diamond Model

MITRE TTP

FaseDenominazione, IDTool
ReconnaissanceGather Victim Identity Information (T1589), Phishing for Information (T1598) 
Resource developmentAcquire Infrastructure: Domains (T1583.001), Establish Accounts: Social Media Accounts (T1585.001) 
Initial AccessT1621 MFA Request Generation T1566 Phishing T1566.004 Spearphishing Voice T1195 Supply Chain Compromise T1111 Multi-Factor Authentication Interception
T1451 SIM Card Swap T1656 Impersonation
0ktapus phishing kit
ExecutionT1204 User Execution 
PersistenceT1219 Remote Access Software T1098.005      Account Manipulation: Device RegistrationTeleport, Windows scheduled tasks Teamviewer, ScreenConnect, AnyDesk, Splashtop, Zoho Assist, FleetDeck, RustDesk
Privilege escalationT1098.003 Account Manipulation: Additional Cloud Roles T1484.002 Domain or Tenant Policy Modification: Trust Modification 
Defense evasionT1562.001     POORTRY
Credential accessT1003Mimikatz, ADExplorer
Discovery  
Lateral movmentT1534 Internal Spearphishing, T1563.002 RDP Hijacking, T1021.002 SMB/Windows Admin SharesRDP, SMB
CollectionT1213.005      Data from Information Repositories: Messaging Applications T1213.002      Data from Information Repositories: Sharepoint T1114 Email Collection 
Command & ControlT1219.002      Remote Desktop SoftwareWarzone RAT (Ave Maria), Ngrok
ExfiltrationT1041 Exfiltration Over C2 Channel T1048 Exfiltration Over Alternative Protocol
T1572 Protocol Tunneling
Raccoon Stealer, VIDAR, ULTRAKNOT
ImpactT1486 Data Encrypted for ImpactBlackCat, Ransomhub, Qilin (Agenda)

Ransomware e Malware/Tools

Scattered Spider impiega diverse famiglie di malware con funzionalità di furto di informazioni (InfoStealer) e accesso remoto (RAT), oltre a ransomware come BlackCat,

MalwareTipologia
BlackCat (ALPHV)Ransomware (RaaS)
WarzoneRAT (Ave Maria)Remote Access Trojan
Raccoon StealerInfostealer
Vidar StealerInfostealer
STONESTOPLoader
POORTRYMalicious driver
EIGHTBAITPhishing kit

Exploited Open Source tools & Living-off-the-Land (LotL)

Scattered Spider sfrutta frequentemente software Open Source o legittimi come strumenti di gestione remota presenti nell’ambiente della vittima, oppure installati dopo l’accesso, come parte di attacchi in stile Living-off-the-Land (LotL).

Tools UsedFunction
ImpacketLateral movement scripts
LaZagneCredential harvesting
MimikatzPassword dumping
NgrokTunneling for C2 communication
Fleetdeck.ioRemote access / cloud deployment
Level.ioRemote IT management
PulsewayRMM (remote monitoring & mgmt)
ScreenConnectRemote support tool
SplashtopRemote desktop tool
Tactical RMMRemote system management
TailscaleVPN tunneling
TeamViewerRemote desktop software

Focus: EDR evasion abusing BYOVD – STONESTOP e POORTRY

Il loader STONESTOP è stato utilizzato dal gruppo SCATTERED SPIDER almeno a partire da agosto 2022. Si tratta di un’utilità per Windows che opera in modalità utente e funge da loader e installer per POORTRY. POORTRY è un driver in modalità kernel di Windows utilizzato per terminare i processi legati ai sistemi di sicurezza, come EDR (Endpoint Detection and Response) e antivirus.

Questi strumenti vengono utilizzati in combinazione da SCATTERED SPIDER, ma sono stati osservati anche in attacchi lanciati da altri attori, il che suggerisce una circolazione del toolkit malevolo in canali sommersi legati al crimine informatico.

I driver risultavano firmati con certificati Microsoft attraverso il programma Microsoft Windows Hardware Developer Program. L’abuso di tali certificati ha portato l’azienda a chiudere gli account coinvolti nelle firme e a revocare i certificati stessi. Secondo una ricerca di Mandiant, si è trattato di un’operazione malevola di tipo “Malicious Driver Signing as a Service”, indicando che i certificati potrebbero essere stati ottenuti attraverso servizi illegali che forniscono firme digitali per software malevoli.

Timeline degli Attacchi Principali

Attacco a MGM Resorts e Caesars Palace (2023)

  • Data: Settembre 2023
  • Obiettivo: MGM Resorts e Caesars Palace, due dei principali hotel e casinò di Las Vegas
  • Metodo d’attacco: Utilizzo di tecniche di social engineering, impersonation di personale dell’IT per bypassare MFA. Deployment del ransomware ALPHV/BlackCat tramite comandi powershell. L’attaccante è riuscito a penetrare nell’infrastruttura cloud e on-premise delle vittime, infiltrando servizi Okta, Azure, Citrix e Sharepoint
  • Impatto: Interruzione dei servizi. Esfiltrazione di dati personali dei clienti. Perdite stimate attorno ai 100 milioni di dollari.
  • Malware/Toolset: BlackCat/ALPHV, social engineering

Campagna UK Retailers (2025)

  • Data: Q1 2025
  • Obiettivo: Aziende UK del settore retail
  • Metodo d’attacco: Ransomware, con accesso iniziale tramite social engineering, compromissione delle credenziali e potenziale abuso dei processi del helpdesk IT. L’uso del ransomware Dragonforce evidenzia una potenziale partecipazione del gruppo, con coinvolgimento di Scattered Spider.
  • Impatto: Interruzione delle funzioni aziendali critiche, esfiltrazione dei dati dei clienti, costi finanziari stimati tra £270 milioni e £440 milioni
  • Malware/Toolset: Social engineering, compromissione delle credenziali, abuso dei processi dell’helpdesk IT, ransomware Dragonforce

Campagna Insurance (2025)

  • Data: Q1 2025
  • Obiettivo: Compagnie assicurative statunitensi
  • Metodo d’attacco: Accesso iniziale tramite social engineering, Phishing, SIM-Swapping, MFA Fatigue/MFA Bombing
  • Impatto: Disconnessione dei sistemi colpiti, interruzione dei servizi
  • Malware/Toolset: Non noto

Campagna Airlines (2025)

Con una nota pubblicata su X il 28/06/2025, l’FBI comunicava lo spostamento dell’attenzione di Scattered Spider sul settore del trasporto aereo. L’agenzia statunitense ha inoltre messo in guardia gli operatori del settore contro le tecniche di social engineering tipicamente usate dall’attore e volte a bypassare i sistemi di autenticazione. Nelle settimane seguenti, attacchi cibernetici hanno colpito tre compagnie aeree occidentali con TTP simili a quelle di Scattered Spider. Al momento, tuttavia, non ci sono attribuzioni ufficiali all’attore.

Figura 1 – Post X di FBI su Scattered Spider e aviazione civile

Contrimisure

Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori.

Minaccia o vettoreContromisura chiaveImpatto atteso
BYOVDUpdate e patching costante dei driver, creazione di regole custom per la rilevazione di driver malevoli noti, implementazione della “vulnerable driver blocklist” messa a disposizione da Microsoft.L’attore non potrà disattivare EDR tramite il driver compromesso
C2 communicationFirewalling e deep packet inspectionInterruzione delle comunicazioni col C2
Social Engineering, MFA BypassFormazione del personale, cultura di awareness e cyber hygiene. Irrobustimento della resilienza alle tecniche di MFA bypass tramite awareness e informazione del personale riguardo alla tecnica di impersonation impiegata dall’attoreRiduzione della possibilità per il threat actor di utilizzare la via d’accesso rappresentata dal social engineering. Aumento della consapevolezza del personale e della capacità di questo di comunicare tempestivamente eventuali criticità o attività sospette.
InfoStealer, RansomwareEDR, Segmentazione della rete, Patching delle vulnerabilità, Politiche di controllo accessi, crittografia dei dati, DLP, Deployment di honeypot di deception 

IoC

Domini che seguono il seguente pattern:

  • victimname-sso[.]com
  • victimname-servicedesk[.]com
  • victimname-okta[.]com

Fonti

  • Microsoft, https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules#vulnerable-driver-blocklist-xml
  • Google, https://cloud.google.com/blog/topics/threat-intelligence/unc3944-sms-phishing-sim-swapping-ransomware, https://cloud.google.com/blog/topics/threat-intelligence/unc3944-targets-saas-applications, https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations, https://cloud.google.com/blog/topics/threat-intelligence/unc3944-sms-phishing-sim-swapping-ransomware, https://cloud.google.com/blog/topics/threat-intelligence/hunting-attestation-signed-malware
  • Group-ib, https://www.group-ib.com/blog/0ktapus/
  • Mphasis, https://www.mphasis.com/content/dam/mphasis-com/global/en/home/services/cybersecurity/scattered-spider-conducts-sim-swapping-attacks-12.pdf
  • SOCRadar, https://socradar.io/dark-web-profile-scattered-spider/
  • Morphisec, https://www.morphisec.com/blog/mgm-resorts-alphv-spider-ransomware-attack/
  • Threatdown, https://www.threatdown.com/blog/ransomware-group-steps-up-issues-statement-over-mgm-resorts-compromise/
  • Bitsight, https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group
  • Crowdstrike, https://www.crowdstrike.com/en-us/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies/, https://www.crowdstrike.com/en-us/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/, https://www.crowdstrike.com/en-us/blog/analysis-of-intrusion-campaign-targeting-telecom-and-bpo-companies, https://www.crowdstrike.com/en-us/blog/crowdstrike-services-observes-scattered-spider-escalate-attacks
  • Security Journal UK, https://securityjournaluk.com/m-and-s-cyber-attack/
  • Paloalto, https://unit42.paloaltonetworks.com/muddled-libra/
  • Cyber Monitoring Center, https://cybermonitoringcentre.com/2025/06/20/cyber-monitoring-centre-statement-on-ransomware-incidents-in-the-retail-sector-june-2025/
  • aha.org, https://www.aha.org/system/files/media/file/2024/10/hc3%20tlp%20clear%20threat%20actor%20profile%20scattered%20spider-10-24-2024.pdf
  • Forescout, https://www.forescout.com/blog/analysis-a-new-ransomware-group-emerges-from-the-change-healthcare-cyber-attack/
  • Trellix, https://www.trellix.com/blogs/research/scattered-spider-the-modus-operandi/
  • Checkpoint, https://blog.checkpoint.com/research/exposing-scattered-spider-new-indicators-highlight-growing-threat-to-enterprises-and-aviation/
  • Dark reading, https://www.darkreading.com/cyberattacks-data-breaches/blurring-lines-scattered-spider-russian-cybercrime
  • SOSintel, https://sosintel.co.uk/understanding-scattered-spider-tactics-targets-and-defence-strategies/
  • Cyberint, https://cyberint.com/blog/dark-web/meet-scattered-spider-the-group-currently-scattering-uk-retail-organizations/
  • SANS, https://www.sans.org/blog/defending-against-scattered-spider-and-the-com-with-cybercrime-intelligence/
  • CBS, https://www.cbsnews.com/news/scattered-spider-blackcat-hackers-ransomware-team-up-60-minutes/
    CISA https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
  • Cyberint, https://cyberint.com/blog/dark-web/meet-scattered-spider-the-group-currently-scattering-uk-retail-organizations/
  • Forbes, https://www.forbes.com/sites/suzannerowankelleher/2023/09/14/2-casino-ransomware-attacks-caesars-mgm/
  • Cybersecurity Dive, https://www.cybersecuritydive.com/news/mgm-resorts-caesars-attacks-hospitality/693689/
  • Reuters, https://www.reuters.com/technology/cybersecurity/us-charges-five-scattered-spider-hacking-scheme-2024-11-20/
  • Halcyon, https://www.halcyon.ai/blog/understanding-byovd-attacks-and-mitigation-strategies
  • Picus Security, https://www.picussecurity.com/resource/blog/qilin-ransomware
  • BBC, https://www.bbc.com/news/articles/ckgnndrgxv3o
  • Bleeping, https://www.bleepingcomputer.com/news/security/mgm-resorts-ransomware-attack-led-to-100-million-loss-data-theft/,https://www.bleepingcomputer.com/news/microsoft/microsoft-signed-malicious-windows-drivers-used-in-ransomware-attacks, https://www.bleepingcomputer.com/news/security/us-arrests-scattered-spider-suspect-linked-to-telecom-hacks, https://www.bleepingcomputer.com/news/security/microsoft-links-scattered-spider-hackers-to-qilin-ransomware-attacks
  • Mjolnir, https://mjolnirsecurity.com/an-actionable-threat-analysis-of-scattered-spider-and-dragon-force/

Telegram e X:

  • https://twitter.com/FBI/status/1938746767031574565

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’intelligenza artificiale ci travolgerà! l’allarme dell’ex dirigente di Google è un futuro distopico
Di Redazione RHC - 07/08/2025

Un ex dirigente di Google lancia l’allarme: l’intelligenza artificiale è pronta a spodestare i lavoratori e trascinarci verso una distopia. Mo Gawdat, lancia l’allarme: l...

Oskemen o niente: il Cyberpandino sfida canyon, deserti e dromedari e non si ferma!
Di Redazione RHC - 07/08/2025

Una Panda del 2003, acquistata per appena 800 €, è diventata qualcosa di totalmente diverso, anche per noi di Red Hot Cyber! Grazie alla genialità di Matteo Errera e Roberto Za...

Italiani in vacanza, identità in vendita: soggiorno 4 stelle… Sono in 38.000, ma sul dark web
Di Redazione RHC - 06/08/2025

Mentre l’ondata di caldo e il desiderio di una pausa estiva spingono milioni di persone verso spiagge e città d’arte, i criminali informatici non vanno in vacanza. Anzi, approfittan...

Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte
Di Redazione RHC - 06/08/2025

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security...

Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia per la mente
Di Massimiliano Brolli - 06/08/2025

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...