Il recente calo di attività del gruppo hacker Scattered Spider, noto anche come UNC3944, rappresenta una preziosa occasione per le aziende che intendono rafforzare la propria sicurezza informatica. Secondo quanto rilevato dagli esperti, dopo gli arresti di alcuni presunti membri della banda nel Regno Unito, non sono stati osservati nuovi attacchi attribuibili direttamente a questo gruppo. Tuttavia, il panorama delle minacce rimane attivo e complesso, poiché altri attori malevoli stanno adottando tattiche simili.

Negli ultimi mesi, Scattered Spider aveva preso di mira settori strategici come il retail, le compagnie aeree e i trasporti, con particolare attenzione all’infrastruttura VMware ESXi. Le tecniche sfruttate vanno dal ransomware, come DragonForce, fino a sofisticati attacchi di social engineering. In particolare, il gruppo utilizzava phishing, push bombing e SIM swapping per ottenere credenziali aziendali, installare strumenti di accesso remoto e aggirare sistemi di autenticazione a più fattori. Questi attacchi venivano ulteriormente camuffati tramite l’uso di proxy e la rotazione dei nomi macchina, rendendo più difficile l’individuazione e la risposta delle difese aziendali.

Un elemento distintivo delle campagne di Scattered Spider è la capacità di impersonare dipendenti reali, convincendo il personale IT o degli help desk a cedere informazioni sensibili, reimpostare password o trasferire token di autenticazione su dispositivi sotto il controllo degli attaccanti. In alcuni casi, le credenziali venivano acquistate su marketplace illeciti, come Russia Market, ampliando le possibilità di accesso non autorizzato alle reti delle vittime.

Oltre alle tecniche di social engineering, Scattered Spider ha fatto largo uso di malware disponibili pubblicamente, tra cui Ave Maria (conosciuto anche come Warzone RAT), Raccoon Stealer, Vidar Stealer e Ratty RAT. Questi strumenti venivano impiegati per ottenere accesso remoto e raccogliere dati sensibili, che poi venivano esfiltrati tramite servizi cloud come Mega. In numerose occasioni, gli attaccanti hanno cercato l’accesso ai database Snowflake delle organizzazioni colpite, esfiltrando grandi volumi di dati in tempi rapidi e, in casi recenti, cifrando anche server ESXi tramite ransomware.

Le autorità di Stati Uniti, Canada e Australia hanno pubblicato nuove linee guida e avvisi, sottolineando l’evoluzione delle tecniche usate da Scattered Spider e invitando le aziende a non abbassare la guardia. Il temporaneo rallentamento degli attacchi offre infatti un’opportunità per analizzare le strategie adottate dagli hacker, valutare i propri sistemi e potenziare la postura di sicurezza, anticipando eventuali minacce da parte di gruppi imitatori che potrebbero sfruttare le stesse metodologie.