L’FBI e la CISA (Cybersecurity and Infrastructure Security Agency) hanno voluto allertare la popolazione rispetto al temibile ransomware Scattered Spider.
Questo, sebbene già attivo da tempo, sta sorprendendo gli esperti di sicurezza informatica per la sua raffinatezza e, nello specifico, per il suo utilizzo avanzato di tecniche social engineering.
Il ransomware in questione, ha già colpito alcune grandi aziende nel contesto americano, si è dimostrato alquanto avanzato, sfruttando tecniche di phishing e push bombing che ne hanno sancito un tasso di efficacia elevato.
A rendere ancora più critica la situazione, vi è il fatto che gli aggressori che utilizzano Scattered Spider talvolta eseguono anche altri ransomware (come quelli proposti dal gruppo BlackCat) durante le loro attività illegali.
Una volta che i cybercriminali ottengono accesso a un sistema violato, questi agiscono utilizzando software legittimi per esfiltrare i file dal dispositivo. Una tecnica tanto semplice quanto efficace, in quanto il trasferimento di informazioni non viene percepito come un’azione sospetta dagli strumenti di protezione.
Social engineering e ransomware: abbinamento potenzialmente devastante
Le tecniche di social engineering sfruttano il mix esplosivo tra tecnologie informatiche e psiche umana.
Facendo forza su alcune tattiche, infatti, i cybercriminali agiscono forzando l’utente a scaricare ed eseguire un determinato file oppure a compilare un form con i propri dati personali. Tutto ciò, applicato a un contesto delicato come quello dei ransomware attuali, può risultare devastante.
FBI e CISA, rispetto a Scattered Spider e minacce simili, chiede alle vittime di non pagare il riscatto richiesto. Questo tipo di comportamento, infatti, oltre a non garantire la reale restituzione delle informazioni sottratte, non fa altro che incentivare questo tipo di crimine.
Per quanto riguarda questa campagna malevola specifica, gli esperti spiegano come sia importante individuare in tempo eventuali “sintomi” dell’infezione. Un’e-mail non richiesta che richiede la verifica di un account relativo a Microsoft Teams o Slack, per esempio, può essere un primo segnale di attività sospette.
Entrambe le agenzie, poi, consigliano alle aziende di rivedere i loro piani di sicurezza, preparando adeguati protocolli di sicurezza.