Il criminale ha un suo fascino, quello cyber non fa eccezione, soprattutto per la straordinaria creatività che spesso dimostrano, combinata a una disarmante lucidità nel modus operandi. In questo senso un esempio emblematico è il collettivo Scattered Spider. Due parole per descriverli. Secondo i ricercatori si tratta di cybercriminali di età compresa tra i 19 e i 22 anni, anglofoni, attivi dal 2022 e con base tra Stati Uniti e Regno Unito. Hanno uno stile aggressivo e spavaldo: “Mischief before money” (La malizia prima del profitto) è il loro motto, indice di una cultura che punta tanto alla notorietà quanto al guadagno. Questo li distingue da gruppi più tradizionali: l’obiettivo non è solo il profitto, ma anche la dimostrazione di superiorità tecnica e psicologica.
La loro firma è il social engineering avanzato: phishing mirato, smishing, voice phishing e via dicendo. Sono noti per impersonare tecnici IT o dipendenti di aziende, sfruttando dati personali ricavati da fonti pubbliche per manipolare help desk e ottenere accessi privilegiati. Una volta all’interno, impiegano strumenti di gestione dei sistemi legittimi per spostarsi all’interno della rete per poi scaricare il malware che, a partire dal 2025, sembra essere quello fornito da un’altra organizzazione criminale emergente nota come DragonForce, che ha fatto dell’utilizzo massiccio dell’intelligenza artificiale il suo marchio di fabbrica.
Le prove raccolte mostrano che Scattered Spider funge da Initial Access Broker, sfruttando l’ingegneria sociale per ottenere l’accesso iniziale ai sistemi bersaglio, per poi passare il testimone a DragonForce che esegue la cifratura dei dati e gestisce la richiesta di riscatto.
L’abilità di Scattered Spider nel raggirare le persone si combina a un’attenta preparazione. Se si osservano i loro attacchi si può notare come ogni loro campagna si concentra di volta in volta su specifiche categorie merceologiche con un’eccezionale efficacia e notevole efficienza.
Quindi nell’estate del 2023 hanno evidentemente studiato con attenzione i processi e le modalità operative dei casinò di Las Vegas per poi colpire con successo MGM Resorts e Caesars Entertainment. Nel primo caso si sono spacciati come personale IT. Nel secondo hanno manipolato il personale di un fornitore IT esterno.
Nella primavera del 2025 è stata la volta della grande distribuzione inglese. Ad essere raggirati sono stati il personale della nota catena Mark & Spencer (ancora oggi a distanza di due mesi dall’attacco l’azienda non è ancora completamente operativa) e quello della catena di supermercati Co‑op.
In questi giorni si sono mossi sul mercato assicurativo statunitense mettendo al tappeto tre compagnie in rapida successione: la Philadelphia Insurance Companies, l’Erie Indemnity e l’Aflac.
Questa selezione degli obiettivi sulla base della loro attività è stata senza dubbio una brillante intuizione, ma ci rammenta una questione fondamentale legata alla diffusione delle informazioni in rete.
Scattered Spider effettua ricerche esaustive di informazioni sui dipendenti, per esempio numeri di telefono, password vecchie, nomi di animali domestici, di parenti, amici, sui viaggi e le abitudini.
Purtroppo, noi utenti siamo i loro primi fornitori perché commettiamo un duplice errore. Prima pensiamo che nessuno sia interessato a noi perché non siamo poi tanto importanti e, su questa base, ipotizziamo erroneamente che a noi certe cose non possano capitare.
Suggerisco una riflessione: se anche fosse vera la prima, teniamo conto che quello importante potrebbe essere un amico, un parente o proprio l’azienda per cui lavoriamo, e da questo consegue che la nostra ipotesi successiva è falsa. Tutto molto semplice.