Un collettivo di cybercriminali anglofoni, noto per le sue incursioni devastanti nei database aziendali, ha recentemente inaugurato un sito web dedicato all'estorsione delle proprie vittime, minacciando di pubblicare quasi un miliardo di dati personali rubati. Questo rappresenta un cambiamento significativo nelle tattiche utilizzate da questi gruppi, che storicamente preferivano operare nell'ombra evitando qualsiasi presenza online visibile.
Un collettivo dalle mille identità
Il gruppo in questione opera sotto diverse denominazioni che ne riflettono la natura frammentata e decentralizzata: Lapsus$, Scattered Spider e ShinyHunters rappresentano le facce di un'organizzazione criminale che ha fatto della versatità la propria arma principale. La loro ultima mossa consiste nella creazione di "Scattered LAPSUS$ Hunters", un portale ospitato nel dark web che funge da vetrina per le loro attività estorsive. Il sito, identificato per la prima volta venerdì scorso dai ricercatori specializzati in intelligence delle minacce informatiche, costituisce una piattaforma di ricatto digitale senza precedenti.
Il messaggio pubblicato sulla homepage non lascia spazio a fraintendimenti: "Contattateci per riottenere il controllo sulla governance dei dati e prevenire la divulgazione pubblica delle vostre informazioni. Non diventate il prossimo titolo di giornale". La comunicazione prosegue assicurando che tutti i contatti richiederanno una verifica rigorosa e saranno gestiti con discrezione, un approccio che mima paradossalmente le pratiche di aziende legittime.
L'assalto ai giganti aziendali
Nelle scorse settimane, il collettivo ShinyHunters ha orchestrato una campagna di attacchi senza precedenti prendendo di mira decine di aziende multinazionali attraverso l'infiltrazione nei loro database cloud ospitati da Salesforce. La lista delle vittime confermate vede la presenza di grossi nomi del business internazionale: il colosso assicurativo Allianz Life, Google, il conglomerato della moda Kering, la compagnia aerea australiana Qantas, il gigante automobilistico Stellantis, l'agenzia di credito TransUnion e la piattaforma di gestione del personale Workday.
Il sito di leak degli hacker elenca ulteriori presunte vittime, tra cui FedEx, Hulu (di proprietà Disney) e Toyota Motors, aziende che al momento non hanno rilasciato dichiarazioni pubbliche riguardo agli attacchi subiti. Questa disparità tra vittime confermate e quelle non ancora pronunciatesi solleva interrogativi sulla possibilità che alcune organizzazioni abbiano già ceduto alle richieste di riscatto per evitare la pubblicazione dei propri dati sensibili.
Salesforce nel mirino
Particolarmente significativa appare la sezione del sito dedicata specificatamente a Salesforce, dove i criminali informatici richiedono esplicitamente alla piattaforma di cloud computing di avviare negoziazioni per il pagamento di un riscatto. "Tutti i dati dei vostri clienti verranno divulgati", minacciano gli hacker, suggerendo attraverso il tono del messaggio che l'azienda non abbia ancora intrapreso alcun dialogo con il gruppo criminale. La mancata risposta di Salesforce alle richieste di commento lascia nell'incertezza la strategia che l'azienda intende adottare di fronte a questa pressione pubblica.
L'evoluzione del crimine informatico
Questo sviluppo rappresenta un'evoluzione tattica significativa per un gruppo che tradizionalmente evitava qualsiasi presenza online pubblica. Gli esperti di sicurezza informatica avevano già ipotizzato nelle settimane scorse che il collettivo stesse pianificando il lancio di una piattaforma dedicata alle estorsioni, seguendo un modello storicamente associato ai gruppi ransomware di origine straniera, spesso russofoni.
Il paradigma criminale si è infatti trasformato radicalmente negli ultimi anni: se in passato questi gruppi si limitavano a rubare e crittografare i dati delle vittime richiedendo privatamente un riscatto per la decrittazione, oggi la strategia dominante consiste nella doppia estorsione. I criminali non solo bloccano l'accesso ai sistemi, ma minacciano anche di rendere pubbliche le informazioni sensibili rubate, creando un doppio livello di pressione sulle organizzazioni colpite.
