Il gruppo di cybercriminali noto come Scattered Spider è tornato sotto i riflettori dopo una serie di recenti attacchi informatici diretti al settore finanziario statunitense, nonostante avesse affermato di aver cessato le proprie attività. Ricerche condotte da aziende di threat intelligence hanno rilevato un aumento di domini simili a quelli di istituti finanziari, segno di una specifica focalizzazione verso questo settore. In particolare, è stato documentato un attacco mirato a una banca americana ottenuto tramite la compromissione dell’account di un dirigente attraverso tecniche di social engineering e la gestione autonoma delle password tramite Azure Active Directory.

Dopo aver ottenuto l’accesso iniziale, gli hacker hanno consultato documenti sensibili IT e di sicurezza, si sono mossi lateralmente all’interno dell’ambiente Citrix e VPN dell’azienda, compromettendo anche l’infrastruttura VMware ESXi per estrarre credenziali e ampliare la loro presenza nella rete. Per aumentare i privilegi, gli attaccanti hanno reimpostato le credenziali di un account di servizio Veeam, ottenuto permessi di amministratore globale su Azure e spostato macchine virtuali per evitare i sistemi di rilevamento. Sono emersi anche tentativi di esfiltrazione dati da ambienti cloud come Snowflake e AWS.

Nonostante le dichiarazioni pubbliche di “ritiro”, queste azioni dimostrano che Scattered Spider ha semplicemente adottato una strategia di bassa visibilità piuttosto che cessare realmente le attività. Il gruppo, noto anche per collaborazioni e sovrapposizioni operative con altri noti collettivi come ShinyHunters e LAPSUS$, fa parte di una più ampia entità cybercriminale chiamata The Com. In alcuni casi, sono stati riscontrati atti di estorsione e furto di dati sensibili anche mesi dopo la compromissione iniziale, spesso in concomitanza con altri gruppi motivati da scopi finanziari come UNC6040.

Gli esperti sottolineano che le comunicazioni che annunciano la fine delle attività di gruppi come Scattered Spider devono essere interpretate con scetticismo. Tali dichiarazioni vengono spesso usate come copertura strategica per eludere la crescente pressione delle forze dell’ordine, riorganizzare le infrastrutture compromesse e rendere più difficile l’attribuzione delle future azioni dannose. Storicamente, quando i gruppi cybercriminali sono sottoposti a indagini o subiscono arresti di affiliati, scelgono di “ritirarsi” solo nominalmente, per poi riemergere con nuove identità e tecniche.

La lezione fondamentale per le aziende è che non bisogna mai abbassare la guardia: anche quando sembra che una minaccia sia scomparsa, la realtà del cybercrime dimostra che i gruppi possono sempre tornare attivi, spesso più sofisticati di prima.