Nuovi gruppi di estorsione adottano le tattiche di Scattered Spider: allerta di CrowdStrike

Due nuovi gruppi di minaccia finanziaria, Cordial Spider e Snarky Spider, affiliati al collettivo The Com, stanno conducendo campagne di attacchi rapidi per il furto di dati e l'estorsione nei confronti di organizzazioni operanti in settori critici dell'infrastruttura globale. Secondo un recente rapporto di CrowdStrike, questi attaccanti sfruttano tecniche avanzate di phishing vocale e ingegneria sociale per compromettere le piattaforme di identità delle vittime e muoversi all'interno degli ambienti SaaS.

Il report, condiviso in anteprima con CyberScoop, rivela che le sottogruppi, composti principalmente da madrelingua inglesi, prendono di mira organizzazioni statunitensi nei settori accademico, aeronautico, retail, ospitalità, automotive, servizi finanziari, legale e tecnologico. Adam Meyers, vicepresidente senior delle operazioni di contrasto agli avversari di CrowdStrike, ha sottolineato come questi gruppi siano strettamente allineati con Scattered Spider e collegati ad altre entità di The Com, tra cui SLSH e ShinyHunters.

Metodologie di attacco e obiettivi

Gli attaccanti utilizzano chiamate vocali, SMS ed email per indirizzare i dipendenti verso pagine di phishing che imitano le pagine di accesso single sign-on (SSO) o i provider di identità primari delle aziende vittime. Queste pagine fraudolente catturano credenziali, chiavi di sessione o token, fornendo agli attaccanti un punto di ingresso nei sistemi. Una volta compromessi, gli attaccanti rimuovono i dispositivi di autenticazione multifattore (MFA), eliminano le email e gli avvisi che potrebbero segnalare attività sospette, e si muovono lateralmente all'interno dell'ecosistema SaaS della vittima.

Nonostante le somiglianze nelle campagne di estorsione, CrowdStrike ha evidenziato come le tattiche, tecniche e procedure (TTP) dei due gruppi presentino differenze significative, tra cui:

• Orari di operatività distinti
• Uso di diversi provider di domini per il phishing
• Sistemi operativi preferiti
• Siti di fuga dati
• Strumenti utilizzati per la registrazione dei dispositivi MFA

Il dominio di BlackFile, il sito di fuga dati di Cordial Spider, risulta offline da mercoledì, secondo quanto riportato da Meyers. CrowdStrike non ha fornito una stima delle richieste di riscatto, ma Unit 42 di Palo Alto Networks aveva precedentemente indicato che Cordial Spider, noto anche come CL-CRI-1116 e UNC6671, richiede cifre a sette zeri.

Conseguenze per le vittime non paganti

Le organizzazioni che rifiutano di pagare le richieste di riscatto vengono sottoposte a ulteriori attacchi, tra cui attacchi DDoS. Snarky Spider, in particolare, adotta tattiche di molestie aggressive, inclusa la pratica di swatting nei confronti dei dipendenti delle aziende vittime.

Per eludere i sistemi di rilevamento basati su IP, entrambi i gruppi utilizzano reti di proxy residenziali, tra cui Mullvad, Oxylabs, NetNut, 9Proxy, Infatica e NSOCKS. Queste reti, che sfruttano indirizzi IP assegnati a utenti domestici reali, possono avere usi legittimi ma sono sempre più utilizzate per attività criminali.

Allerta e raccomandazioni

Il rapporto di CrowdStrike giunge a seguito di una ricerca condivisa la scorsa settimana da Unit 42 di Palo Alto Networks e dal Retail Hospitality Information Sharing and Analysis Center, che aveva documentato una serie di attacchi di Cordial Spider nei settori retail e ospitalità. Gli esperti sottolineano la necessità per le organizzazioni di rafforzare le misure di sicurezza, in particolare per quanto riguarda la protezione delle piattaforme di identità e l'adozione di soluzioni avanzate di rilevamento delle minacce.