Scattered Spider torna e colpisce rivendite, assicurazioni e compagnie aeree

Il gruppo cybercrime Scattered Spider è tornato a colpire a più riprese per tutta la prima metà del 2025, impattando numerosi settori verticali.

Inizialmente, si è fatto notare per aver preso di mira organizzazioni nei settori dell’automazione del software, dell’outsourcing dei processi aziendali e delle telecomunicazioni. Da allora, ha ampliato il targeting includendo i settori tecnologico, alberghiero e quello finanziario.

Fra le probabili vittime censite nei suoi primi anni di attività vi sono MGM, Marks & Spencer, Co-op,  Twilio,  Coinbase,  DoorDash, Caesars, MailChimp,  Riot Games e Reddit. Uno dei più recenti alert dell’FBI riporta attacchi provati contro almeno 45 aziende negli Stati Uniti e all’estero, tra cui Canada, India e Regno Unito.

Quest’anno, Scattered Spider sembra aver operato a più riprese, mirando ogni volta ad un settore specifico.

A maggio, nell’arco di una decina di giorni, ha preso di mira Ahold Delhaize USA, la cui società madre è la stessa delle catene di supermercati Giant e Food Lion, e i colossi della vendita al dettaglio del Regno Unito, Harrods e Marks & Spencer.

Successivamente, ha impattato il settore Insurance, con una violazione ai danni di Aflac, uno dei maggiori fornitori di assicurazioni sanitarie integrative negli Stati Uniti per le spese mediche non coperte da un operatore primario. Altre probabili vittime sarebbero Erie Insurance e Philadelphia Insurance Companies.

Infine, un alert dell’FBI di giugno mette in guardia il settore aeronautico in USA e Canada. L’avviso non menziona i nomi delle realtà coinvolte, tuttavia, gli analisti ipotizzano che queste includano almeno due compagnie aeree, la Hawaiian Airlines e la canadese WestJet.

Le analisi delle varie campagne concordano nell’attribuire a questo avversario raffinate strategie di social engineering, un elevato know how tecnico e, elemento di grande rilievo, una approfondita conoscenza delle tecnologie informatiche aziendali.

I componenti di Scattered hanno dimostrato di padroneggiare: l’utilizzo dei servizi proxy NSOCKS e TrueSocks; la creazione di regole di posta elettronica per inoltrare e-mail da specifici fornitori di sicurezza agli attaccanti per monitorare le comunicazioni e coloro che aiutano nelle indagini; la distribuzione di macchine virtuali customizzate, l’uso di rootkit open source e di bedevil ( bdvl ) per prendere di mira i server VMware vCenter;  le operazioni che portano ad ottenere permessi amministrativi; l’utilizzo intensivo di servizi proxy anonimi.

Il costante aggiornamento è dovuto anche all’ingresso di nuovi operatori – alcuni analisti ne hanno stimati un migliaio – fatto che compensa i frequenti arresti avvenuti nell’ultimo anno.

Nel novembre 2024, i procuratori federali di Los Angeles hanno desecretato le accuse penali contro il ventitreene Tyler Robert Buchanan (alias “tylerb”); Ahmed Elbadawy (23 anni), di College Station, Texas; Joel Evans (25 anni), di Jacksonville, Carolina del Nord; Evans Osiebo (20 anni), di Dallas; Noah Urban (20 anni), di Palm Coast, Florida. Alla fine dell’anno è stato arrestato un diciassettenne britannico.

Buchanan è stato estradato a metà aprile dalla Spagna agli USA, con l’accusa di aver violato decine di aziende e di aver controllato personalmente la distrazione di fondi rubati per oltre $26 milioni. Il ragazzo era fuggito dal Regno Unito nel febbraio 2023, dopo che una banda di criminali informatici rivale aveva assoldato dei delinquenti che gli erano entrati in casa, avevano aggredito la madre e avevano minacciato di bruciarlo con una fiamma ossidrica, se non avesse consegnato le chiavi del suo wallet di criptovalute.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence