Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
Estorsione SaaS Lampo: vishing e SSO rubati svuotano l’IdP, esfiltrazione in meno di un’ora
Negli ultimi mesi stanno emergendo attacchi di estorsione estremamente rapidi che si svolgono quasi interamente dentro ambienti SaaS, rendendo più difficile per i team di sicurezza ricostruire le azioni degli attaccanti. Due gruppi criminali distinti ma con metodi molto simili sono stati collegati a campagne ad alta velocità basate su furto dati ed estorsione, attive almeno da ottobre 2025.
Il punto di forza di queste operazioni è la capacità di ridurre al minimo la superficie visibile dell’intrusione, sfruttando servizi cloud legittimi e sessioni già autorizzate.
La catena di attacco tipica parte dal vishing, cioè telefonate fraudolente in cui gli attaccanti si spacciano per personale IT o help desk. Il bersaglio viene guidato verso pagine di phishing a tema SSO progettate come adversary in the middle, in grado di intercettare credenziali e token di autenticazione. In molti casi vengono sottratti anche codici MFA, permettendo un accesso iniziale credibile e immediato.
Una volta ottenute le credenziali, gli attaccanti puntano al provider di identità (IdP), perché rappresenta un ingresso unico che apre la porta a più applicazioni SaaS integrate. Invece di compromettere singolarmente ogni servizio, abusano della relazione di fiducia tra IdP e applicazioni connesse e si muovono lateralmente in tutto l’ecosistema SaaS con una sola sessione autenticata. Questo approccio accelera drasticamente il tempo di impatto, con casi in cui l’esfiltrazione può iniziare in meno di un’ora.
Per mantenere l’accesso, viene spesso registrato un nuovo dispositivo per aggirare controlli MFA, talvolta dopo aver rimosso dispositivi già associati all’account. Subito dopo, gli attaccanti riducono la probabilità di essere scoperti sopprimendo le notifiche automatiche, ad esempio creando regole di posta in arrivo che eliminano i messaggi relativi a registrazioni non autorizzate o avvisi di sicurezza.
Con privilegi elevati ottenuti anche tramite ulteriore social engineering e consultazione di directory interne, la fase successiva consiste nel cercare file ad alto valore e report critici in piattaforme come Google Workspace, Microsoft SharePoint, Salesforce e HubSpot, per poi esfiltrare dati verso infrastrutture controllate dai criminali e avviare la pressione estorsiva.