Scattered Spider, da SIM swap a ransomware: l'allarme di Microsoft

Scattered Spider, collettivo di cybercriminali già noto agli esperti di sicurezza, sta mutando le proprie attività causando una certa preoccupazione tra ricercatori ed esperti di sicurezza informatica.

Secondo Microsoft, infatti, questi hacker sono “Uno dei gruppi criminali con obiettivi finanziari più pericolosi“. Questa affermazione è figlia della fluidità di Scattered Spider che, alle operazioni di phishing via SMS e SIM swap ha di recente aggiunto anche attività nel contesto ransomware.

Il gruppo, noto anche come Octo Tempest, viene definito da Microsoft come “Un collettivo motivato finanziariamente di autori di minacce nativi di lingua inglese, noto per aver lanciato campagne ad ampio raggio che presentano in primo piano tecniche Adversary-in-the-middle (AiTM), social engineering e SIM swap“.

Va sottolineato come, a seconda delle varie società di sicurezza informatica, Scattered Spider assume diversi nomi: oltre a Octo Tempest, infatti, il collettivo viene definito anche 0ktapus, Scatter Swine e UNC3944.

Allarme Scattered Spider: il gruppo di cybercriminali agisce su più fronti

Nonostante l’introduzione di tecniche ransomware, una delle strategie di attacco che ha reso gli hacker di Scattered Spider famosi nell’ambiente, sono le campagne relative a personale dei servizi di assistenza.

Queste tecniche, infatti, includono alcune raffinate strategie di social engineering, con cui i cybercriminali riescono ad ottenere accesso anche a servizi protetti da sistemi di autenticazione a più fattori.

Nel corso del 2023, però, l’operato dei criminali informatici sembra essere cambiato. Gli obiettivi principali, a quanto pare, ora sono le criptovalute conservate nei wallet digitali e la diffusione di ransomware, con lo scopo di ottenere denaro attraverso l’estorsione.

Anche per quanto riguarda le piattaforme prese di mira, Scattered Spider si è dimostrato un gruppo duttile, colpendo senza troppa difficoltà sistemi Windows e Linux.

Sempre Microsoft, infatti, ha spiegato come “Una tecnica unica utilizzata da Octo Tempest è quella di compromettere l’infrastruttura VMware ESXi, installando la backdoor Linux open source Bedevil e quindi lanciando script VMware Python per eseguire comandi arbitrari contro macchine virtuali ospitate“.