Cinque uomini sui vent’anni sono stati incriminati dalle autorità americane mercoledì 20 novembre. Sono sospettati di appartenere a un sinistro gruppo di hacker soprannominato Scattered Spider dagli specialisti di sicurezza informatica, e con un obiettivo nefasto. L’atto d’accusa rilasciato dal Dipartimento di Giustizia li accusa principalmente di frode bancaria e furto d’identità.
Il nome Scattered Spider è stato associato in particolare all’hacking dei casinò MGM Resorts negli Stati Uniti, che è costato alla società quasi 100 milioni di dollari. Il gruppo o alcuni dei suoi membri sono sospettati anche di aver collaborato con BlackCat, una delle più grandi bande di ransomware degli ultimi anni. Scattered Spider avrebbe quindi svolto il ruolo di affiliato, nome dato ai complici responsabili dell’infiltrazione nella rete di una vittima per distribuire software dannoso che paralizza i computer collegati.
I cinque sospettati ora perseguiti dalla giustizia americana, Ahmed Elbadawy, Noah Urban, Evans Osiebo, Joel Evans e Tyler Buchanan, hanno tutti tra i 20 ei 25 anni. Almeno tre di loro sono stati arrestati nel corso di diverse ondate di arresti. Buchanan, l’unico cittadino britannico sulla lista dei sospettati (gli altri quattro sono americani), è stato arrestato in Spagna a giugno, mentre Noah Urban, conosciuto con lo pseudonimo di “Sosa”, è stato arrestato a gennaio. Un ultimo sospettato, Joel Evans, è stato arrestato martedì 19 novembre dagli investigatori federali nella Carolina del Nord. Tuttavia, non è chiaro se le cinque persone accusate rappresentino l’intero gruppo.
Phishing, « SIM swapping » e volumi di fondi
Dal 2022, le società di sicurezza informatica seguono da vicino le attività del gruppo. Un’analisi della società CrowdStrike ha stabilito all’epoca che gli hacker avevano preso di mira soprattutto aziende di telecomunicazioni e aziende di subappalto. Si sono infiltrati inviando messaggi di phishing (phishing) o impersonificandosi al telefono come dipendenti, sempre allo scopo di ottenere identificatori che consentano loro di inserirsi nella rete. Il gruppo ha poi consolidato la propria base, ad esempio installando software di accesso remoto sui computer aziendali.
Secondo l’accusa, Joel Evans, 25 anni, di Jacksonville e conosciuto con lo pseudonimo di joeleoli, è accusato di aver progettato uno strumento per automatizzare il trasferimento delle password rubate dalle campagne di phishing del gruppo. Le credenziali inserite dalle vittime venivano poi inviate ad un canale Telegram gestito da Scattered Spider. Nel 2022, un rapporto della società Group IB stimava che quasi 10.000 persone avrebbero visto i propri identificatori rubati dal gruppo.
Una volta recuperati questi dati, uno degli obiettivi principali di Scattered Spider è poi quello di estrarre fondi, spesso in criptovalute, dalle proprie vittime. Gli investigatori stimano che i sospettati siano riusciti a rubare un totale di oltre 11 milioni di dollari a una trentina di persone identificate. Nel 2021 gli indagati sarebbero riusciti a rubare più di sei milioni di dollari in criptovalute ad una sola vittima. Per fare ciò, il gruppo ha utilizzato la tecnica del Scambio SIMche prevede l’inoltro della linea telefonica della vittima per ricevere i suoi messaggi di testo e chiamate, inclusi i codici di verifica talvolta inviati per reimpostare una password. Nel 2022, i membri del gruppo sarebbero riusciti a penetrare nell’infrastruttura di Twilio, una società specializzata nell’invio di SMS e telefonate.
Dietro questo vago gruppo potrebbe nascondersi una comunità più ampia. I ricercatori sospettano quindi che Scattered Spider sia un’emanazione di The Com, una vasta rete di pirati anglofoni di cui non si conosce il livello di organizzazione e che potrebbe contare, secondo recenti dichiarazioni dell’FBI, quasi mille membri.
Leggi la decrittazione | Articolo riservato ai nostri abbonati Gli “Infostealer”, questo piccolo crimine informatico che prospera all’ombra dei ransomware
Leggi più tardi
Related News :