Dopo gli attacchi nel Regno Unito, gli hacker prendono di mira i rivenditori statunitensi e Google

Gli hacker del gruppo Scattered Spider, noti per gli attacchi ai rivenditori al dettaglio nel Regno Unito, ora prendono di mira i rivenditori al dettaglio negli Stati Uniti, hanno avvertito gli esperti di sicurezza informatica di Google.

Il famigerato gruppo di criminali informatici Scattered Spider sta ora prendendo di mira attivamente le aziende di vendita al dettaglio negli Stati Uniti, in seguito a una serie di attacchi destabilizzanti contro aziende simili nel Regno Unito.

Questo avvertimento arriva direttamente dagli esperti di sicurezza informatica del Google Threat Intelligence Group (GTIG) e della sussidiaria di Google Mandiant , che sottolineano l'efficacia del gruppo nell'aggirare anche le misure di sicurezza più severe.

"Il settore della vendita al dettaglio negli Stati Uniti è attualmente preso di mira da operazioni di ransomware ed estorsione che sospettiamo siano collegate a UNC3944, noto anche come Scattered Spider", ha affermato John Hultquist, analista della sicurezza informatica di Google.

È importante notare che Scattered Spider (noto anche come UNC3944) è il principale sospettato dei recenti attacchi ai colossi britannici della grande distribuzione Harrods, Co-op e M&S, ma il National Cyber ​​Security Centre (NCSC) del Regno Unito, Mandiant e Google non li hanno ancora formalmente attribuiti ad alcun attore specifico. Tuttavia, i ricercatori del GTIG suggeriscono che gli hacker che prendono di mira i rivenditori statunitensi condividano tecniche e procedure simili a quelle dei responsabili degli incidenti britannici.

I ricercatori hanno notato un possibile collegamento tra gli autori del ransomware DragonForce e Scattered Spider. Il primo si è assunto la responsabilità di recenti tentativi di attacco a diversi rivenditori del Regno Unito, utilizzando tattiche simili a quelle di Scattered Spider. Inoltre, entrambi erano associati alla piattaforma RaaS RansomHub, ora non più attiva.

Tuttavia, il GTIG non ha potuto confermare il collegamento tra UNC3944/DragonForce e l'aumento delle perdite di dati nel settore retail. Tuttavia, la crescente presenza di vittime del settore retail sui siti di fuga di dati (11% nel 2025, in aumento rispetto agli anni precedenti) suggerisce che gli autori delle minacce trovino questo settore interessante a causa dell'ingente patrimonio di dati PII/finanziari e della loro disponibilità a pagare un riscatto per mantenere l'elaborazione delle transazioni.

Secondo i precedenti report di Hackread.com, Scattered Spider è un autore di minacce informatiche motivato da interessi economici, noto per l'utilizzo di tecniche di ingegneria sociale. È diventato famoso per aver hackerato i colossi dei casinò MGM Resorts International e Caesars Entertainment nel 2023. Inizialmente ha preso di mira le aziende di telecomunicazioni per lo scambio di SIM , per poi iniziare a distribuire ransomware per estorcere denaro alle vittime.

Sono noti anche per i tentativi di phishing e il bombing MFA , in cui bombardano gli obiettivi con richieste di autenticazione a più fattori. In genere, UNC3944 si rivolge a imprese consolidate, in particolare organizzazioni con help desk di grandi dimensioni e reparti IT esternalizzati, poiché sono più vulnerabili alle loro sofisticate tecniche di ingegneria sociale.

L'analisi di GTIG rivela che dall'inizio del 2023 la normativa UNC3944 ha preso di mira una vasta gamma di settori, tra cui tecnologia, telecomunicazioni, servizi finanziari, outsourcing dei processi aziendali (BPO), gaming, ospitalità, commercio al dettaglio e media e intrattenimento. A livello geografico, i loro target principali sono stati ancora più diversificati, includendo Stati Uniti, Canada, Regno Unito, Australia, Singapore e India.

Il Retail & Hospitality ISAC, un gruppo per la condivisione di informazioni che include importanti aziende come Albertsons, Costco, McDonald's e Lowe's, ha riconosciuto la minaccia e sta collaborando con Google per fornire ai suoi membri briefing dettagliati e indicazioni su come rafforzare le difese contro questa minaccia in continua evoluzione. L'avvertimento di Google rappresenta un chiaro segnale per i rivenditori statunitensi, che devono mantenere la massima allerta e rivedere i propri protocolli di sicurezza.

Chad Cragle , CISO di Deepwatch, una piattaforma di resilienza informatica basata su intelligenza artificiale e interazione umana con sede a San Francisco, California:

Scattered Spider (UNC3944) utilizza un sofisticato sistema di ingegneria sociale per infiltrarsi e distribuire ransomware. Per difendersi da questo gruppo, è necessario proteggere gli account privilegiati, implementare un'autenticazione a più fattori (MFA) a prova di phishing e verificare ogni richiesta di identità all'help desk .

" I rivenditori sono particolarmente vulnerabili, poiché gestiscono grandi quantità di dati di pagamento, gestiscono catene di approvvigionamento complesse e operano sotto una forte pressione sui tempi di attività, che spesso incoraggia il pagamento di riscatti " , ha avvertito Chad. " Tuttavia, le organizzazioni con dati preziosi ed esigenze di disponibilità critiche sono altrettanto a rischio " .