Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha recentemente rivelato che il noto gruppo di cybercriminali Scattered Spider ha ampliato il proprio raggio d’azione per colpire il settore aereo. L’agenzia sta collaborando attivamente con partner del settore dell’aviazione per contrastare queste attività e supportare le vittime.
Questi attori malevoli si affidano a tecniche di ingegneria sociale, spesso impersonando dipendenti o appaltatori per ingannare i servizi di assistenza IT e ottenere accesso. Le tecniche utilizzate includono metodi per aggirare l’autenticazione a più fattori (MFA), come convincere i servizi di assistenza a aggiungere dispositivi MFA non autorizzati agli account compromessi.
Gli attacchi di Scattered Spider sono noti anche per prendere di mira fornitori IT terzi per ottenere accesso a grandi organizzazioni, mettendo a rischio fornitori e appaltatori fidati. Questi attacchi aprono la strada a furti di dati, estorsioni e ransomware.
In una dichiarazione su LinkedIn, Sam Rubin di Palo Alto Networks Unit 42 ha confermato gli attacchi del gruppo contro l’industria dell’aviazione, esortando le organizzazioni a essere in “massima allerta” per tentativi avanzati di ingegneria sociale e richieste sospette di reset dell’autenticazione a più fattori (MFA). Anche Mandiant, di proprietà di Google, ha avvertito del targeting di Scattered Spider nel settore assicurativo statunitense, affermando di essere a conoscenza di diversi incidenti nel settore aereo e dei trasporti che rispecchiano il modus operandi del gruppo di hacker.
“Raccomandiamo che l’industria prenda immediatamente provvedimenti per rafforzare i processi di verifica dell’identità del servizio di assistenza prima di aggiungere nuovi numeri di telefono agli account di dipendenti/appaltatori (che possono essere utilizzati dagli attori malevoli per eseguire reset delle password self-service), resettare password, aggiungere dispositivi alle soluzioni MFA o fornire informazioni sui dipendenti (ad esempio, ID dipendenti) che potrebbero essere utilizzate per successivi attacchi di ingegneria sociale,” ha dichiarato Charles Carmakal di Mandiant.
Uno dei motivi per cui Scattered Spider continua a ottenere successo è la sua profonda comprensione dei flussi di lavoro umani. Anche quando sono in atto difese tecniche come l’MFA, il gruppo si concentra sulle persone dietro i sistemi, sapendo che il personale del servizio di assistenza, come chiunque altro, può essere colto di sorpresa da una storia convincente.
Non si tratta di hacking con forza bruta; si tratta di costruire fiducia quel tanto che basta per infiltrarsi. E quando il tempo è poco o la pressione è alta, è facile capire come una richiesta falsa di un dipendente possa passare inosservata. Ecco perché le organizzazioni dovrebbero guardare oltre la sicurezza tradizionale degli endpoint e ripensare a come avviene la verifica dell’identità in tempo reale.
L’attività tracciata come Scattered Spider si sovrappone a cluster di minacce come Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud e UNC3944. Il gruppo, originariamente noto per i suoi attacchi di SIM swapping, include tra le sue tecniche di accesso iniziale l’ingegneria sociale, il phishing del servizio di assistenza e l’accesso interno per penetrare negli ambienti ibridi.
Fonte: The Hackers News
