Con un'inaspettata dichiarazione pubblica, i membri di Scattered Spider, Lapsus$, ShinyHunters e altri che operano nell'ambito del più ampio ecosistema Com hanno dichiarato che "si stanno oscurando".Il loro comunicato finale sottolinea che i loro obiettivi sono stati raggiunti e che alcuni membri svaniranno nell'anonimato, mentre altri "continueranno a studiare e migliorare i sistemi che utilizzate nella vostra vita quotidiana. In silenzio".
Sebbene l'annuncio abbia tutte le caratteristiche di un'uscita di scena, i difensori non devono sentirsi sollevati. È più probabile che si tratti di un punto di svolta che di una conclusione. La capacità del gruppo di armare l'identità, sfruttare le piattaforme SaaS ed estorcere denaro attraverso lo spettacolo pubblico ha rimodellato in modo fondamentale il crimine informatico.
Per i team SOC, questa non è la fine della storia, ma un promemoria per rimanere concentrati sul rilevamento di sottili segnali di compromissione prima che il furto di dati diventi una leva.
Inside The Com: un ecosistema di equipaggi
Per comprendere Scattered Lapsus$ Hunters, è necessario comprendere The Com. Abbreviazione di The Community, non si tratta di un singolo gruppo di hacker, ma di un ecosistema di criminali informatici con migliaia di membri in tutto il mondo. Le fazioni emergono, si fondono e si ribattezzano continuamente. Scattered Spider, Lapsus$ e ShinyHunters sono solo i nomi più visibili, e molti altri rimangono sconosciuti.
Origini ed evoluzione
Le radici della Com risalgono alla fine degli anni 2010, quando gli adolescenti dirottavano gli account Instagram per vendere preziosi short handle. Questo fenomeno si è rapidamente evoluto nello scambio di SIM, in cui i dipendenti delle telecomunicazioni venivano corrotti o ingannati per reindirizzare i numeri di telefono. Questo ha dato agli aggressori il controllo dell'autenticazione a più fattori basata su SMS, aprendo la porta a e-mail, servizi cloud e portafogli di criptovalute. Una vittima ha perso più di 20 milioni di dollari in criptovalute a causa di attori legati a Com.
Le forze dell'ordine hanno effettuato i primi arresti nel 2018 e nel 2019 diversi membri sono stati condannati per aver rubato milioni. Tuttavia, la rete si è dimostrata resistente. I sottogruppi si sono divisi e adattati, passando dallo scambio di SIM al phishing via SMS, allo sfruttamento di SaaS, all'estorsione e persino agli swatting.
A rendere pericolosa la Com sono le sue dimensioni, la sua adattabilità e la sua giovinezza. L'adesione è fluida, le tattiche variano da molestie grossolane a intrusioni sofisticate e molti membri sono nativi digitali che considerano la violazione delle reti come un'attività online qualsiasi. Si tratta di un ecosistema vivente che si rigenera costantemente, assicurando che anche quando una banda cade, altre si sollevino rapidamente.
Fazioni principali
Sebbene la Com sia estesa e decentralizzata, tre fazioni si sono elevate al di sopra del rumore e hanno dato forma al libro di gioco che i difensori ora riconoscono:
- Scattered Spider si è concentrato sull'ingegneria sociale su scala. Padroneggiavano le chiamate di vishing, l'impersonificazione dell'helpdesk IT e lo scambio di SIM per dirottare le credenziali. I loro obiettivi erano i fornitori di single sign-on, i vettori di telecomunicazioni e le grandi imprese, dove un'identità compromessa poteva sbloccare un intero ambiente.
- ShinyHunters si sono specializzati nel furto e nella monetizzazione di dati in massa. Si sono introdotti in piattaforme SaaS e ambienti di sviluppo, hanno rubato database e li hanno incanalati attraverso forum come RaidForums e BreachForums. La loro reputazione di venditori affidabili di accessi e dati li ha resi centrali nell'economia sommersa.
- LAPSUS$ si sono basati sulla spettacolarizzazione. Invece della crittografia ransomware, si sono affidati al reclutamento di insider, al furto di accessi e alle fughe di notizie pubbliche per massimizzare la pressione. Hanno trattato l'estorsione come un teatro, trasformando i canali Telegram in trasmissioni in diretta delle loro violazioni.
Insieme, queste fazioni hanno costruito un modello complementare. Scattered Spider ha aperto la porta attraverso l'ingegneria sociale, ShinyHunters ha trasformato l'accesso in profitto e LAPSUS$ ha usato le armi della pubblicità per imporre il pagamento.
Il messaggio di commiato ha confermato che queste crew non sono marchi separati in competizione per l'attenzione, ma pezzi interdipendenti dello stesso ecosistema.
Chi altro è stato nominato nel commiato?
"Noi LAPSUS$, Trihash, Yurosh, yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari e molti altri, abbiamo deciso di oscurare".
Il messaggio di addio non si limitava ad annunciare il ritiro. Elencava una serie di maniglie che, se esaminate insieme, rivelano l'ampiezza della Com.
- Broker e amministratori di forum come IntelBroker e Yukari gestivano i mercati in cui venivano scambiati i dati rubati, colmando il divario tra accesso e monetizzazione.
- I defacer veterani come Prosox, Kurosh, TOXIQUEROOT, Pertinax e WyTroZz tracciano le loro radici nella cultura del web defacement degli anni 2010, mostrando come la notorietà iniziale si sia evoluta in un crimine guidato dall'estorsione.
- Gli specialisti operativi, tra cui Trihash, Yurosh, yaxsh, N3z0x, Nitroz e Clown, raramente hanno presentato richieste di risarcimento, ma la loro presenza segnala i ruoli infrastrutturali - kit di phishing , mediatori di accesso e negoziatori - necessari per mantenere in funzione la macchina.
La Com non è una banda, ma una catena di distribuzione. L'accesso, i dati e la pubblicità sono divisi tra i vari ruoli, e gli hacker della vecchia scuola siedono comodamente accanto agli operatori più giovani.
La pubblicazione dei nomi era di per sé una tattica, che confondeva l'attribuzione e assicurava che i successori ereditassero la reputazione senza mantenere un marchio fisso.
Questo mosaico di gruppi, veterani e specialisti dimostra che The Com prospera sulla divisione del lavoro piuttosto che su un'unica bandiera. E pone le basi per l'innovazione che la contraddistingue: spostare l'estorsione oltre il ransomware, dove l'accesso, i dati e la percezione sono diventati le vere armi.
Oltre il ransomware: L'estorsione come nuovo modello
Creazioni di ransomware come LockBit e Global operano ora come piattaforme RaaS, generando payload personalizzati su richiesta. Il loro modello si basa ancora su crittografia, distribuzione di malware e tempo di permanenza prolungato, tutti elementi che creano rumore che i difensori possono talvolta rilevare.
Per gli Scattered Lapsus$ Hunters e altre fazioni Com, l'approccio è diverso. Si concentrano su accesso, furto ed esposizione. Le schermate dei sistemi di Jaguar Land Rover o i dati dei fornitori di Salesforce esfiltrati tramite token OAuth non sono precursori della crittografia, ma la leva stessa.
L'estorsione non consiste più nel ripristinare l'accesso, ma nel massimizzare la pressione attraverso la minaccia di umiliazione pubblica, il contraccolpo dei clienti e il controllo normativo.
Questo modello prospera in ambienti in cui le identità e le piattaforme SaaS sono affidabili per impostazione predefinita. Gli aggressori si mescolano al traffico normale, abusano delle integrazioni legittime e impersonano il personale IT in tempo reale. Alcuni utilizzano domini phishing che imitano in modo convincente Okta o altri provider SSO, riuscendo persino a catturare i codici MFA su pagine "factor" contraffatte. Altri chiamano direttamente i dipendenti, convincendoli a consegnare i token di sessione. Quando l'intrusione diventa visibile, spesso si tratta di una fuga di notizie su Telegram piuttosto che di un allarme interno.
Il violazione OAuth di Salesloft Drift ha dimostrato quanto possano essere silenziose queste compromissioni. Gli aggressori hanno sottratto i dati di Salesforce, comprese le credenziali e le chiavi API, senza attivare le difese malware . I dati stessi erano la merce di scambio. Segnali sottili come un uso insolito dell'identità, integrazioni SaaS inaspettate o richieste MFA irregolari sono ora i veri indicatori di compromissione.
Il gap di sicurezza nell'era del SaaS e dell'AI
La Com mette in luce una lacuna critica nella sicurezza. Gli strumenti tradizionali sono stati costruiti per catturare il malware e la crittografia ransomware, ma i gruppi di estorsori operano in modi che queste difese raramente vedono. Sfruttano le identità e le piattaforme SaaS di cui le aziende si fidano intrinsecamente, trasformando i punti ciechi in punti di ingresso.
Questo divario è visibile in diversi modi:
- Le difeseMalware non riescono a individuare l'abuso di OAuth. Quando gli aggressori trafugano i dati di Salesforce o Google Workspace utilizzando token rubati, non viene mai eseguito alcun malware . La sicurezzaEndpoint non ha nulla da rilevare.
- Il monitoraggio della rete non tiene conto del traffico SaaS. I dati si muovono tra le applicazioni cloud su canali criptati che gli strumenti perimetrali non sono in grado di analizzare, lasciando che l'esfiltrazione si nasconda nei flussi legittimi.
- I log dell'MFA da soli non sono in grado di individuare l'ingegneria sociale. Quando i dipendenti vengono convinti in una chiamata dal vivo a condividere un token di sessione, gli strumenti di autenticazione mostrano solo un "login valido", non una compromissione.
L'era del ransomware è stata definita dalla crittografia e dalle operazioni rumorose.
L'era dell'estorsione si basa su furtività, abuso di identità e sfruttamento del SaaS.
Per colmare questo divario richiede visibilità sui comportamenti, non solo sulle firme. La Vectra AI Platform offre questa visibilità rilevando i segnali di abuso nei sistemi cloud, SaaS, di rete e di identità, dando al vostro team la possibilità di fermare l'estorsione prima che i dati rubati diventino una risorsa.
Scoprite come funziona nella pratica esplorando la nostra demo autoguidata.