Scattered Spider: cosa c'è da sapere

Scattered Spider è il nome dato da CrowdStrike a un gruppo di criminali informatici uniti da legami piuttosto labili, la cui affiliazione è transitoria e definita in maniera vaga. Il gruppo è noto anche con altre denominazioni, come UNC3944, Storm-0875 o LUCR-3.  

Il gruppo agisce solitamente per motivazioni finanziarie e prende di mira diversi Paesi e settori industriali. Le vittime si trovano in genere in Paesi occidentali, come gli Stati Uniti, il Canada, il Regno Unito e la Svizzera, ma sono state colpite anche aree dell’Asia orientale, come la Thailandia, e organizzazioni sudamericane in Brasile. 

Attivo dal 2022, Scattered Spider è solito monetizzare i propri attacchi tramite ransomware e furto di dati con estorsione, concentrandosi su obiettivi di alto profilo come società Fortune 500 in settori quali tecnologia, servizi finanziari, retail e aerospaziale, fra gli altri. 

Attività recente di Scattered Spider 

La stampa ha attribuito al gruppo alcuni recenti attacchi su larga scala contro obiettivi di primo piano, tra cui Transport for London, Caesars, MGM Resorts, DoorDash, CloudFlare, Marks & Spencer, Harrods e Co-op.  

Poiché i loro attacchi si fanno sempre più diffusi, è importante capire come gli hacker di Scattered Spider ottengono l'accesso a un'organizzazione e come operano una volta all'interno della rete. 

Gli obiettivi del gruppo tendono a variare nel tempo: al momento, il bersaglio sembra essere soprattutto il settore della vendita al dettaglio, ma questo potrebbe spostarsi già il mese prossimo. È importante capire che qualsiasi impresa potrebbe essere colpita, in qualunque momento, soprattutto nel caso di grandi aziende operanti su scala globale.  

Tattiche, tecniche e procedure più utilizzate 

Per accedere ai sistemi di un'organizzazione, Scattered Spider tende a utilizzare l'ingegneria sociale avanzata e l'inganno, spesso tramite SMS (smishing) o chiamate vocali (vishing). Il gruppo è anche noto per contattare i numeri di help-desk esterni, nel tentativo di far reimpostare le password o i numeri di autenticazione multifattore di utenti ignari, ottenendo così l'accesso ai loro account. 

Le attività tendono a culminare nel furto massivo di dati e nel ransomware: in questo modo l'estorsione è doppia, poiché le vittime sono costrette a pagare sia per decrittare i dati che per impedire la divulgazione delle informazioni trafugate. Tra i metodi utilizzati possiamo citare: 

• Sfruttamento dell'help desk: utilizzo dell'ingegneria sociale per convincere gli addetti agli help desk a reimpostare password e materiale MFA di determinati amministratori o altri account privilegiati 

• “SIM swapping” per ottenere l’accesso iniziale alle identità 

• Doppia estorsione per monetizzare le violazioni, crittografando i dati da un lato e minacciando di divulgarli dall'altro 

• Compromissione di Active Directory: è nota l'estrazione di NTDS.dit dai domain controller, il principale database di credenziali per Active Directory 

• Phishing di credenziali: ricorso a imitazioni di domini legittimi, spesso contenenti termini quali okta, sso, help, corp, internal, sso, ecc., per ingannare le vittime e indurle a fornire le loro credenziali 

• Lateral movement: abuso di RDP, SSH, PsExec e attività pianificate per spostarsi tra i sistemi all'interno di una rete 

• Persistenza tramite strumenti RMM: Abusa delle piattaforme di monitoraggio e gestione remota come AnyDesk per mantenere l'accesso 

• Dumping delle credenziali: utilizzo di strumenti come Mimikatz, secretsdump.py e DCSync 

• Distribuzione di ransomware: talvolta, utilizzo della variante Ransomware-as-a-Service (RaaS) DragonForce per eseguire attacchi 

Raccomandazioni difensive 

Varonis Threat Labs consiglia le seguenti misure difensive per mantenere i dati al sicuro da minacce come Scattered Spider:  

• Rafforzare i protocolli di help desk: implementare procedure di verifica dell'identità per prevenire gli attacchi di ingegneria sociale 

• Implementare un MFA resistente al phishing: Utilizzi la corrispondenza numerica o i token hardware invece delle notifiche push di base per tutti i punti di accesso remoti 

• Garantire la copertura degli endpoint: mantenere una copertura del 100% con strumenti di rilevamento e risposta degli endpoint (EDR) ben configurati e un monitoraggio attivo degli avvisi 

• Filtrare il traffico web: utilizzare i proxy web per bloccare l'accesso a domini sospetti o dannosi 

• Monitorare i data stores critici: utilizzare strumenti come Varonis per rilevare pattern di accesso insoliti che potrebbero indicare una violazione in corso 

• Condurre esercitazioni per red team: testare regolarmente le difese da attacchi simulati, soprattutto contro Active Directory 

• Limitare l'accesso a Internet del server: applicare regole di default-deny e inserire in allow-list solo i domini e gli IP essenziali a livello di firewall 

• Mantenere i sistemi aggiornati: assicurarsi che tutti i sistemi operativi e le applicazioni siano aggiornati e sottoposti a patching 

• Garantire la sicurezza dei backup: archiviare i backup offline e testarli regolarmente per assicurarne la recuperabilità in caso di attacco 

Non aspettare che si verifichi una violazione.

Scattered Spider è unico nel suo genere, in quanto i suoi ranghi non sono ben definiti ed è insolitamente difficile stabilire l'affiliazione di un hacker al gruppo.  

Come al solito, le principali misure difensive si possono riassumere in monitoraggio, esecuzione di backup e implementazione di procedure di best practice comuni a tutta la rete dell'organizzazione.  

Se hai bisogno di assistenza immediata, o se ritieni che la tua organizzazione sia stata colpita da attori malevoli come Scattered Spider, contatta il nostro team.