Numerosi arresti ridimensionano il gruppo cybercrime Scatterd Spider
19 Dicembre 2024
Sette fermati negli ultimi cinque mesi
Il gruppo cybercrime Scattered Spider è stato oggetto di numerosi provvedimenti giudiziari.
Un presunto appartenente al gruppo è stato accusato di aver condotto attacchi di phishing contro società di telecomunicazioni e un istituto finanziario. L’atto di incriminazione, risalente a fine ottobre 2024 e desecretato di recente, riguarda Remington Ogletree, un diciannovenne residente in Texas e Florida.
Da ottobre 2023 a maggio 2024, Ogletree avrebbe perpetrato un piano di frode in cui inviava messaggi di phishing a dipendenti di compagnie con sede negli Stati Uniti e all’estero per ottenere l’accesso non autorizzato alle reti informatiche aziendali. Fra le sue vittime vi sarebbero società di telecomunicazioni in Europa e USA e un istituto finanziario. In particolare, avrebbe utilizzato l’accesso ai sistemi Telco per una campagna di smishing finalizzata al furto di criptovaluta.
Durante uno degli interrogatori, Ogletree avrebbe spiegato che Scattered Spider predilige come target aziende di Business Process Outsourcing (BPO) e che ne avrebbe colpite almeno cinque di grandi dimensioni. Inoltre, ha rivelato di avere dei precedenti, essendo stato coinvolto a soli 12 anni in un’operazione di SIM-swapping.
A luglio di quest’anno, la polizia britannica ha arrestato un diciassettenne che sarebbe coinvolto nell’attacco ransomware del 2023 al MGM Resorts, di cui è ritenuto responsabile Scattered Spider. L’identità di questo ragazzo è sembrata poi compatibile con quella del sospetto autore dell’attacco ai trasporti pubblici di Londra (TfL).
Infine, lo scorso novembre, il Dipartimento di Giustizia degli Stati Uniti ha arrestato e incriminato altri cinque giovani, sospettati di avere legami con Scattered Spider. Due di essi sono residenti in Texas, uno in Florida, uno in Carolina del Nord e l’ultimo nel Regno Unito. Le accuse nei loro confronti comprendono la frode telematica, l’associazione a delinquere per frode telematica e il furto di identità aggravato.
Una crew giovane e duttile
Individuato dagli analisti anche con la sigla UNC3944 e associato alla campagna 0ktapus – Scattered Spider viene tracciato almeno dall’inizio del 2022.
Le sue caratteristiche distintive sono la giovane età dei componenti – alcuni dei quali proverrebbero da un altro collettivo di hacker, chiamato “The Com” -e una specifica duttilità. A livello operativo, quest’ultima si deve ad una struttura diffusa e fluida, che comunica su piattaforme di messaggistica, server Discord e forum di hacker. A livello strategico, spicca l’abilità che ha portato, nell’arco di un biennio, ad affiancare le campagne di phishing alle offensive ransomware.
Fra i target delle sue campagne vi sono operatori delle telecomunicazioni, realtà del settore finanziario e legale, provider di servizi tecnologici e gestionali, infrastrutture commerciali e della rivendita al dettaglio, gestori del settore alberghiero e realtà del gaming.
L’evoluzione delle tecniche, tattiche e strategie
Gli analisti hanno articolato la storia criminale di Scattered Spider in tre fasi, in ciascuna delle quali sono state progressivamente incrementate tecniche, tattiche e strategie.
Per tutto il 2022, il gruppo ha colpito provider di comunicazioni mobili e di outsourcing dei processi aziendali per effettuare campagne di SIM swapping finalizzate al furto dei dati. In alcuni casi, ha rivenduto ad altri attaccanti dati raccolti, in altri li ha utilizzati direttamente, per effettuare frodi di cryptovalute.
La seconda fase copre il periodo tra la fine del 2022 e l’inizio del 2023 ed ha avuto come target provider di telecomunicazioni via cavo, di posta elettronica e di servizi tecnologici. Inoltre, è stato osservato anche l’utilizzo del broad account takeover per esfiltrare vaste quantità di informazioni. In questo periodo, ha iniziato a sfruttare i dati rubati a fini estorsivi.
A metà del 2023, ha avviato partnership con diversi operatori ransomware, tra cui Qilin e RansomHub. In particolare, è stata segnalata la possibile affiliazione ad ALPHV Team/BlackCat. Infatti, almeno a partire da giugno 2023, Scattered Spider ha distribuito versioni di ALPHV per Windows e Linux. Le vittime di tali attacchi sono state realtà dei settori tecnologico, finanziario, manufatturiero, dei servizi gestiti, delle rivendite e del gaming.
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, dal 2023 parte di Telsy.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sui nostri servizi di Threat Intelligence