Aggiornamento sui rischi umani: Il ragno sparso prende di mira le imprese di assicurazione

In questa edizione di Human Risk Roundup, Scattered Spider, un gruppo di cybercriminali noto per la sua focalizzazione settoriale, si è concentrato sulle compagnie assicurative nella sua ultima ondata di attacchi. E i ricercatori di Google avvertono che una sofisticata campagna di phishing sta prendendo di mira accademici e critici della Russia, spacciandosi per il Dipartimento di Stato degli Stati Uniti. 

Il ragno sparso tesse la sua tela intorno al settore assicurativo 

Il gruppo di minacce responsabile di una recente serie di attacchi ai rivenditori del Regno Unito sta ora mettendo gli occhi sulle imprese di assicurazione. Scattered Spider, noto anche come UNC3944, è noto per le sue tattiche avanzate di social engineering e anche per prendere di mira un settore alla volta. Tre assicuratori sono stati colpiti da attacchi in un periodo di cinque giorni questo mese.  

Cosa è successo 

"Il Threat Intelligence Group di Google è ora a conoscenza di molteplici intrusioni negli Stati Uniti che presentano tutte le caratteristiche dell'attività di Scattered Spider. Ora stiamo assistendo a incidenti nel settore assicurativo, ha dichiarato John Hultquist, analista capo di GTIG di", in un'e-mail inviata a diversi media. Il gruppo utilizza schemi di social engineering per sfruttare gli help desk e i call center. Gli attori delle minacce impersonano i dipendenti e utilizzano manovre psicologiche per ingannare i team IT e indurli a bypassare l'autenticazione a più fattori (MFA) e altri controlli di accesso.  

Perché è importante 

L'ingresso di Scattered Spider nel settore assicurativo non solo comporta rischi diretti per le operazioni degli assicuratori, ma può anche esporre i dati degli assicurati e le informazioni sensibili. Questi attacchi sfruttano la dipendenza del settore dagli help desk e l'ampia presenza di dipendenti. Data l'affiliazione segnalata del gruppo con gli attori del ransomware e le sue recenti collaborazioni nel panorama della criminalità informatica, questo spostamento di attenzione potrebbe portare a gravi violazioni di dati ed eventi di estorsione per un settore che si basa molto sulla fiducia. 

Consigli pratici per i leader della sicurezza nel settore assicurativo 

Migliorare la consapevolezza delle tattiche di social engineering: Si assicuri che i dipendenti dell'help desk e il personale di prima linea siano addestrati a riconoscere i tentativi di impersonificazione e a rispondere in modo appropriato alle interazioni sospette. 

Incoraggi i processi di convalida dei dipendenti: Implementa protocolli chiari per verificare l'identità dei dipendenti prima di concedere l'accesso a sistemi sensibili o di reimpostare le credenziali dell'account. 

Monitorare attentamente i comportamenti legati alla posta elettronica: Esamini regolarmente l'attività di posta elettronica alla ricerca di segni di compromissione, come regole di inoltro insolite, richieste di reimpostazione della password inaspettate o accessi da luoghi sconosciuti. 

Per saperne di più, leggere The Hacker News.

I cyberattaccanti russi si spacciano per il Dipartimento di Stato americano 

Una sofisticata campagna di phishing del gruppo russo sponsorizzato dallo Stato UNC6293 ha preso di mira persone influenti, come accademici e critici della Russia, spacciandosi per il Dipartimento di Stato degli Stati Uniti. La campagna evidenzia la crescente minaccia di attacchi mirati di ingegneria sociale che sfruttano la fiducia per aggirare anche i controlli di sicurezza avanzati. 

Cosa è successo 

Da aprile a giugno 2025, UNC6293 ha condotto due campagne di phishing coordinate con l'obiettivo di ottenere l'accesso a lungo termine agli account e-mail delle vittime. Gli aggressori hanno inviato e-mail ben confezionate, utilizzando indirizzi del Dipartimento di Stato degli Stati Uniti spoofati per apparire credibili. Una volta che le vittime hanno risposto, gli hacker le hanno guidate a creare password specifiche per le applicazioni (ASP) - codici di 16 caratteri progettati per l'accesso di app di terze parti agli account Google. 

Gli aggressori hanno utilizzato questi ASP per accedere agli account e-mail delle vittime tramite i client di posta e hanno ottenuto un accesso a lungo termine ai loro account. Sono stati identificati due approcci: uno ha utilizzato un'esca a tema Dipartimento di Stato, mentre l'altro ha adottato il marchio ucraino e Microsoft per aumentare il suo appeal. Entrambe le campagne si sono affidate a proxy residenziali e ad altre infrastrutture per nascondere le loro attività e mantenere l'accesso. 

Perché è importante 

Le tattiche di UNC6293 mostrano come la manipolazione umana mirata possa aiutare gli aggressori a eludere le misure di sicurezza forti come l'autenticazione a più fattori (MFA). Ottenendo l'accesso alla posta elettronica a livello di insider, questi attori possono monitorare le comunicazioni sensibili, rubare dati e posizionarsi per un ulteriore sfruttamento. Questa campagna ci ricorda che il phishing non è più solo una tattica spray, ma una strategia calcolata che sfrutta la fiducia e le vulnerabilità umane. 

Consigli pratici per i leader della sicurezza 

Rafforzare le protezioni contro le e-mail di phishing: Implementare sistemi che rilevino e blocchino in modo proattivo le e-mail sospette, comprese quelle con indirizzi di mittenti contraffatti o link progettati per rubare le credenziali. 

Segnalare e verificare le comunicazioni esterne: Utilizzi misure per avvisare i dipendenti dei rischi potenziali nelle e-mail provenienti da fonti esterne non verificate, aiutandoli a controllare i tentativi di comunicazione insoliti. 

Monitorare e verificare l'attività dell'account: Verifichi regolarmente il comportamento di login e i modelli di accesso all'account per individuare eventuali anomalie, come il login da luoghi sconosciuti o da dispositivi non autorizzati. 

Aumentare la consapevolezza degli utenti: Fornisca ai dipendenti una formazione continua sulle tattiche di phishing emergenti, mettendoli in grado di identificare e segnalare le truffe su misura che mirano alle vulnerabilità umane. 

 Cosa guardare: Il DHS mette in guardia dai cyberattacchi provenienti dall'Iran 

Il Dipartimento di Sicurezza Nazionale (DHS) avverte del potenziale aumento dell'attività informatica dannosa da parte dell'Iran in seguito agli attacchi militari degli Stati Uniti contro le strutture nucleari iraniane. Il bollettino avverte che gli agenti iraniani e gli hacktivisti di supporto potrebbero condurre attacchi informatici di basso livello contro le reti statunitensi come ritorsione.

Oltre alle minacce informatiche, il DHS ha evidenziato un rischio maggiore per la sicurezza dei funzionari governativi statunitensi e dei critici del regime iraniano. Gli hacker di matrice iraniana sono soliti prendere di mira le infrastrutture critiche poco protette, tra cui i servizi idrici e le aziende tecnologiche. 

Per saperne di più su questa notizia in via di sviluppo, legga Cybersecurity Dive. 

Mimecast Threat Intelligence: Nuova ondata della campagna Astaroth Infostealer 

Samantha Clarke e il team di ricerca sulle minacce di Mimecast hanno scoperto una nuova ondata della campagna Astaroth Infostealer, una sofisticata operazione di malware che ha come obiettivo l'America Latina, in particolare Brasile e Messico. Questo sofisticato malware, attivo dal 2017, impiega tecniche di attacco senza file per eludere il rilevamento e utilizza e-mail di phishing per avviare le infezioni. Le vittime vengono attirate a cliccare su link malevoli che scaricano JavaScript offuscato, permettendo al malware di rubare informazioni sensibili come le credenziali bancarie. 

Le operazioni di Astaroth sono caratterizzate da geofencing e tattiche di social engineering su misura, che la rendono particolarmente efficace nelle regioni prese di mira. Con una distribuzione giornaliera sbalorditiva di fino a 100.000 e-mail di phishing, la campagna rappresenta una minaccia significativa. Le organizzazioni sono invitate a migliorare le misure di sicurezza delle e-mail e la consapevolezza degli utenti per combattere questa minaccia in evoluzione.  

Per ulteriori informazioni su Astaroth Infostealer, visiti il nostro Threat Intelligence Hub.