Nel panorama della cyber sicurezza sta emergendo un modello di estorsione dati sempre più aggressivo, attribuito al gruppo Scattered Lapsus ShinyHunters, spesso indicato con l’acronimo SLSH. A differenza dei classici schemi ransomware basati su cifratura e successiva richiesta di riscatto, qui il fulcro è la pressione psicologica e personale su dirigenti e dipendenti, con l’obiettivo di spingere le aziende a pagare non solo per limitare la diffusione dei dati rubati, ma anche per far cessare molestie e minacce.

La strategia include contatti diretti e ossessivi verso figure apicali e loro familiari, minacce credibili di violenza e campagne di intimidazione che possono arrivare allo swatting, cioè segnalazioni false alle forze dell’ordine per provocare interventi armati presso abitazioni o uffici. A questo si aggiungono attacchi DDoS ai siti aziendali e email bombing, usati per saturare caselle di posta e canali operativi, aumentando caos e costi di gestione dell’incidente.

Un elemento chiave delle intrusioni SLSH è il social engineering telefonico. Gli attaccanti si fingono personale IT e convincono i dipendenti che siano in corso aggiornamenti delle impostazioni MFA. La vittima viene indirizzata su pagine di raccolta credenziali con brand aziendale, dove inserisce username e password SSO e codici MFA. In alcuni casi gli aggressori riescono persino a registrare un proprio dispositivo come metodo MFA, ottenendo accesso persistente agli ambienti cloud e ai dati interni sensibili.

La fase di estorsione si svolge spesso su canali Telegram pubblici e mutevoli, dove il nome dell’azienda viene esposto e usato come leva di umiliazione. Il gruppo tende anche a coinvolgere media e autorità, segnalando la violazione per amplificare la percezione di urgenza e danno reputazionale. Questo meccanismo punta a mantenere la vittima in uno stato di allarme costante, simile alle dinamiche delle campagne di sextortion, in cui la promessa di cancellazione dei dati non è verificabile e raramente garantita.

In ottica risposta agli incidenti, il punto cruciale è comprendere che negoziare o mantenere un dialogo prolungato può incentivare ulteriori escalation. La gestione deve separare la remediation tecnica e legale dal ricatto legato alle molestie, evitando di alimentare il ciclo di pressione e di legittimare un attore frammentato e poco affidabile.