Dentro la rete “ShinySp1d3r”: gli ex Lapsus$ forgiano una nuova era spietata di ransomware e attacchi dall’interno

Le ombre del sottobosco cyber si stanno muovendo. I membri un tempo dispersi della famigerata crew di hacker Lapsus$ sono tornati - e non sono soli. Sotto il nuovo vessillo “ShinySp1d3r”, questi attori stanno orchestrando una campagna sofisticata che fonde il peggio di ransomware, minacce interne e commercio di credenziali. Con l’intensificarsi della loro spinta al reclutamento e l’evoluzione dei loro strumenti, le imprese globali potrebbero trovarsi di fronte a una tempesta più calcolata - e più pericolosa - che mai.

Dal caos al cartello: come Lapsus$ ha ricostruito il suo impero

Dopo un periodo di apparente inattività, gli attori un tempo noti come Scattered Lapsus$ Hunters si stanno riorganizzando con ferocia. Le informazioni raccolte da canali Telegram e forum del dark web rivelano una ripresa deliberata e ben organizzata. Invece di affidarsi a tattiche caotiche di “mordi e fuggi”, il gruppo ora opera in “cluster” specializzati - ciascuno dedicato a social engineering, intrusione, intermediazione di credenziali o amplificazione dei dati. Le loro comunicazioni interne, costellate di riferimenti a gruppi famigerati come Lizard Squad, sembrano più orientate a costruire un’immagine che a una partnership reale.

L’evoluzione tecnica del gruppo è sorprendente. Traendo lezioni dalle campagne passate - ricordate le violazioni di Salesforce e Zendesk? - stanno ora integrando un framework di Ransomware-as-a-Service battezzato “ShinySp1d3r”. Questa piattaforma promette agli affiliati una quota dei profitti: 25% per l’accesso ad Active Directory, 10% per credenziali di identità cloud. L’obiettivo? Creare un mercato in cui insider e broker siano incentivati a fornire accesso alle aziende più grandi e redditizie del mondo.

Il reclutamento è al tempo stesso audace e mirato. I post di ShinySp1d3r corteggiano specificamente dipendenti di telecom, provider cloud, software house e BPO. Per attenuare le preoccupazioni, minimizzano le storie di individuazione degli insider, presentandole come anomalie piuttosto che come la norma. Il loro messaggio: “Possiamo tenerti al sicuro, e ti pagheremo bene”.

Ciò che distingue ShinySp1d3r è l’ambizione di unificare la catena di fornitura criminale. Fondendo distribuzione di ransomware, vendita di credenziali ed estorsione tramite fuga di dati in un unico ecosistema, il gruppo è pronto a massimizzare i profitti e minimizzare il rischio. Gli analisti avvertono che questo modello - se non arginato - potrebbe portare a violazioni di una scala e sofisticazione mai viste, soprattutto mentre i sistemi cloud e di identità restano bersagli altamente remunerativi.

I difensori riusciranno a tenere il passo?

Con le operazioni di ShinySp1d3r che guadagnano slancio e la loro campagna di reclutamento che diventa sempre più pubblica, i team di sicurezza sono in massima allerta. Gli esperti esortano le organizzazioni a rafforzare il monitoraggio delle identità, il rilevamento delle minacce interne e la gestione degli accessi privilegiati prima che questo nuovo cartello criminale consolidi la propria posizione. La posta in gioco non è mai stata così alta: mentre ShinySp1d3r tesse la sua tela, la prossima era dell’estorsione informatica potrebbe essere già iniziata.

WIKICROOK

• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Minaccia interna: Una minaccia interna si verifica quando qualcuno all’interno di un’organizzazione abusa del proprio accesso a sistemi o dati, intenzionalmente o accidentalmente causando danni.
• Initial Access Broker: Un Initial Access Broker è un cybercriminale che viola i sistemi e vende l’accesso ad altri attaccanti, abilitando ulteriori crimini informatici come ransomware o furto di dati.
• Active Directory (AD): Active Directory (AD) è un servizio Microsoft che centralizza l’accesso degli utenti, l’autenticazione e la gestione delle policy di sicurezza nelle reti di computer.
• Privilege Access Management (PAM): Il Privilege Access Management (PAM) controlla e monitora l’accesso privilegiato degli utenti ai sistemi critici, riducendo i rischi di sicurezza e garantendo la conformità nelle organizzazioni.