Gli hacker Scattered Spider alzano il livello di minaccia aggiungendo il ransomware Qilin al loro arsenale

Il gruppo di cybercriminali noto con il nome di Scattered Spider (ma anche Octo Tempest, UNC3944 e 0ktapus) ha ampliato il proprio arsenale di armi e strumenti inserendo il ransomware Qilin, elevando le proprie capacità offensive: è quanto emerge da un'analisi di Microsoft condivisa nel corso della giornata di ieri.

Il gruppo è emerso agli inizi del 2022, guadagnando rapidamente notorietà con l'operazione 0ktapus, che ha preso di mira oltre 130 organizzazioni di alto profilo, tra cui la stessa Microsoft, Binance, CoinBase, T-Mobile e AT&T. E ancora: Epic Games, Riot Games, Slack, Twitter e Best Buy. 

Durante l'anno passato Scattered Spider si è affiliato al ransomware BlackCat/ALPHV e condotto, purtroppo con successo, un attacco contro MGM Resorts. Scattered Spider è anche stato collegato da Symantec alle operazioni del Ransomware-as-a-Service RansomHub.

Scattered Spider utilizza un modus operandi piuttosto sofisticato, con avanzate tecniche di ingegneria sociale che prevedono anche l'impersonificazione di personale IT per ingannare dipendenti di aziende, così come l'uso di strumenti di accesso remoto allo scopo di mantenere persistenza nelle reti prese di mira e compromesse. Tra i metodi di accesso iniziale il gruppo fa uso di tradizionali tecniche di phishing, assieme ad attacchi MFA bombing e SIM swapping. Nel corso del mese di novembre passato l'FBI e la CISA avevano emesso un avviso congiunto per sensibilizzare il pubblico sulle strategie di Scattered Spider.

Anche le origini del ransomware Qilin sono intressanti: si tratta di un malware emerso ad agosto del 2022, inzialmente con il nome di "Agenda" e ribattezzato Qilin dopo un mese dalla sua nascita. Da allora sono stati rivendicati oltre 130 attacchi, ma l'attività di Qilin è rimasta relativamente latente fino alla fine del 2023.

Qilin fa uso di un crittografo Linux avanzato, sviluppato proprio nel mese di dicembre 2023 e progettato per prendere di mira nello specifico le macchine virtuali VMware ESXi, largamente impiegate nelle infrastrutture aziendali.

La metodologia di attacco di Qilin ricalca un modello diffuso tra coloro i quali sfruttano strumenti ransomware: dopo la compromissione della rete-bersaglio, vengono sottratti dati sensibili, acquisite le credenziali di amministrazione e quindi distribuito il ransomware effettivo. In questo caso i criminali hanno la possibilità di ricattare le vittime con schemi a doppia estorsione. Le richieste di riscatto si collocano in una forbice invero piuttosto ampia: da qualche decina di migliaia di dollari a diverse milioni, sulla base delle dimensioni e dell'imporrtanza della società colpita.

I problemi occorsi negli scorsi mesi ad ospedali e cliniche londinesi sono stati causati da un attacco ai danni del fornitore di servizi Synnovis proprio ad opera di Qilin: l'incidente di sicurezza ha portato alla cancellazione di centinaia di appuntamenti ed interventi.