Il gruppo di cybercriminali noto come Scattered Spider, conosciuto anche come UNC3944, è tornato al centro dell’attenzione per una nuova ondata di attacchi che prende di mira le compagnie assicurative statunitensi. Secondo quanto segnalato dalla Google Threat Intelligence Group (GTIG), sono stati identificati diversi casi che mostrano le tipiche modalità operative di questo collettivo, famoso per la sofisticazione delle sue tecniche di social engineering.

Negli ultimi mesi, Scattered Spider aveva già colpito diversi rivenditori in Regno Unito e Stati Uniti, ma ora l’attenzione del gruppo sembra concentrarsi proprio sul settore assicurativo. Questo cambio di focus è coerente con la strategia storica degli attaccanti, che tendono a concentrare i loro sforzi su un settore alla volta. GTIG consiglia quindi alle compagnie assicurative di mantenere alta la guardia, soprattutto proteggendo i team di supporto IT e i call center, obiettivi privilegiati di campagne di ingegneria sociale.

Scattered Spider si distingue per la capacità di impersonare in modo convincente i dipendenti delle aziende bersaglio, riuscendo così a ingannare facilmente il personale IT e superare anche sistemi di autenticazione multi-fattore (MFA). Questi attacchi fanno leva su una profonda conoscenza culturale e linguistica degli ambienti occidentali, rendendo i tentativi di phishing e le truffe telefoniche particolarmente credibili ed efficaci.

Nonostante alcune voci ipotizzassero una collaborazione tra Scattered Spider e il gruppo ransomware DragonForce, in particolare dopo il presunto takeover dell’infrastruttura di RansomHub, GTIG non ha trovato prove di un effettivo utilizzo del ransomware DragonForce da parte del collettivo. Tuttavia, la minaccia rimane elevata, anche perché le ultime campagne sono sempre più orientate a compromettere fornitori di servizi gestiti (MSP) e contractor IT, con l’obiettivo di ottenere accesso a una moltitudine di aziende clienti tramite un solo punto di penetrazione.

Principali raccomandazioni per la difesa

• Rafforzare i controlli di autenticazione e di identità
• Implementare restrizioni e segmentazioni degli accessi per limitare la possibilità di escalation dei privilegi e movimenti laterali
• Formare adeguatamente il personale degli help desk affinché verifichi sempre l’identità degli utenti prima di eseguire qualsiasi reset di account