Dentro la Ragnatela di Scattered Spider — e Come Uscirne

Written By David Shipley

Immagina di essere al gate, carta d'imbarco in mano — e l'app si blocca. Dietro le quinte, un gruppo di adolescenti cybercriminali ha appena sfruttato il help desk della tua compagnia aerea e dirottato sistemi sensibili.

Questa non è finzione. Sta succedendo proprio ora.

Una nuova ondata di attacchi informatici sta attraversando l'industria aerea — e al centro di tutto c'è un attore di minaccia che si specializza nel truffare le persone, non solo le macchine.

Nell'ultimo mese, Qantas, Hawaiian Airlines e WestJet hanno tutte divulgato incidenti informatici. Qantas ha segnalato che fino a sei milioni di clienti sono stati colpiti — sebbene nessun dato di passaporto o pagamento sia stato compromesso. Hawaiian Airlines ha rivelato una interruzione allineata alle tattiche di ransomware, mentre WestJet ha divulgato un attacco all'inizio di giugno che ha colpito i servizi mobili e online.

In tutti i casi, le operazioni di volo sono rimaste inalterate — ma il messaggio è chiaro: le compagnie aeree sono nel mirino.

Il 28 giugno, l'FBI ha emesso un avviso che il gruppo cybercriminale noto come Scattered Spider sta attivamente bersagliando l'industria aerea.Questo gruppo, composto principalmente da giovani adulti anglofoni provenienti dagli Stati Uniti e dal Regno Unito, è noto per le sue tattiche sofisticate di ingegneria sociale e la collaborazione con sindacati di ransomware-as-a-service.

Chi è Scattered Spider?

Scattered Spider, conosciuto anche come UNC3944, Starfraud o Muddled Libra, è un collettivo decentralizzato di cybercriminali che ha guadagnato notorietà per attacchi di alto profilo in vari settori.

Questi giovani teenager avanzati operano meno come una gang centralizzata e più come un movimento — agile, collaborativo e difficile da individuare.

  • Ingegneria Sociale: impersonando dipendenti o appaltatori per ingannare gli help desk IT a concedere accesso non autorizzato.

  • Utilizzando MFA bombing e SIM-swapping per infrangere difese che la maggior parte presume siano sicure.

  • Phishing Avanzato: utilizzando kit di attacker-in-the-middle (AITM) come Evilginx per hijackare sessioni di login attive rubando token di autenticazione.

  • Bersagliando Fornitori di Terze Parti: sfruttando vulnerabilità nei fornitori IT di terze parti e nei call center per infiltrarsi in organizzazioni più grandi.

Le loro attività recenti hanno incluso attacchi su grandi rivenditori come Marks & Spencer e Co-op nel Regno Unito, risultando in significative perdite finanziarie, con alcune stime che pongono i loro danni a più di 600 milioni di dollari.  

Perché le Compagnie Aeree? Perché ora?

L'industria aerea presenta un obiettivo attraente per i cybercriminali a causa della sua complessa infrastruttura digitale, dipendenza da fornitori terzi e l'alto valore dei dati dei clienti.Il cambio di Scattered Spider verso questo settore coincide con la stagione di viaggio estiva di picco, aumentando il potenziale impatto delle loro operazioni.

Nel caso di Qantas Airways, la violazione ha coinvolto il vishing (phishing vocale) — una tattica in cui i cybercriminali impersonano dipendenti per estrarre dati sensibili.Anche se nessuna informazione finanziaria o sui passaporti è stata accessa, i dati compromessi includevano nomi, date di nascita, email, numeri di telefono e numeri frequent flyer.

Strategie di Mitigazione

Difendersi da gruppi come Scattered Spider richiede un approccio sfaccettato:

  1. Rinforza i Protocolli degli Help Desk: implementa processi rigorosi di verifica dell'identità per le richieste di accesso.Forma il personale degli help desk a riconoscere e scalare attività sospette.

  2. Potenziamento della Sicurezza MFA: adotta metodi MFA più forti, come token hardware o autenticazione biometrica, e monitora le richieste MFA insolite.

  3. Monitora l'accesso di Terze Parti: revisiona regolarmente come i fornitori esterni accedono ai tuoi sistemi, assicurati che seguano pratiche di sicurezza rigorose e dai loro solo l'accesso minimo di cui hanno bisogno per fare il loro lavoro.

  4. Promuovi una Cultura della Sicurezza: incoraggia i dipendenti a riportare attività sospette e supportali nel seguire i protocolli di sicurezza, anche sotto pressione.

Considerazioni Finali

Scattered Spider non si limita a entrare nei sistemi — sta attraversando le persone. Sfruttano stress, velocità e formazione superficiale. Ecco perché gli strumenti di sicurezza senza una mentalità di sicurezza sono solo un'armatura vuota.

Quando Scattered Spider colpisce, non è solo un problema di sicurezza — è una crisi operativa. I sistemi si oscurano. I clienti perdono la fiducia. Il personale in prima linea si arrabatta senza gli strumenti su cui si basano. Anche se gli aerei continuano a volare, il costo di pulizia, analisi forensi e recupero è misurato in settimane – e milioni.

Scattered Spider ha infranto l'illusione che MFA da solo sia "resistente al phishing." Mentre MFA ferma gli attacchi brute-force, non fermerà un attaccante motivato che prende di mira le tue persone e i tuoi processi.

Non limitarti a patchare i sistemi o investire in un altro strumento — trasforma la tua cultura. Inizia con il nostro nuovo Rapporto sulla Cultura della Sicurezza: una guida pratica per aiutare a motivare le tue persone a diventare difensori sicuri e capaci della tua organizzazione.

David Shipley
Previous

Qual è una quantità “sicura” di tempo davanti allo schermo? Una risposta in due parti da considerare
Next

Perché il pensiero critico è importante quando si utilizza l'IA