Scattered Spider prende di mira le compagnie assicurative statunitensi dopo il colpo al commercio al dettaglio nel Regno Unito, avverte Google
Un gruppo di hacker noto per attacchi di alto profilo ai colossi della vendita al dettaglio sta ora rivolgendo la sua attenzione al settore assicurativo, secondo un nuovo avviso del Threat Intelligence Group di Google. Il gruppo, noto come Scattered Spider , è stato collegato a una serie di recenti attacchi informatici che hanno bloccato l'accesso ai clienti assicurativi negli Stati Uniti.
L'avviso segue una serie di violazioni di dati avvenute all'inizio di quest'anno presso importanti rivenditori del Regno Unito. Dopo quell'ondata di attacchi, gli analisti di Google hanno notato che Scattered Spider aveva iniziato a prendere di mira i rivenditori con sede negli Stati Uniti. Ora, i ricercatori affermano che il gruppo sta mostrando un chiaro interesse per le compagnie assicurative e sta attivamente sfruttando la loro forza lavoro attraverso l'ingegneria sociale .
"Gli attori che portano i segni distintivi di Scattered Spider stanno ora prendendo di mira il settore assicurativo, e hanno l'abitudine di farsi strada in un settore", ha affermato John Hultquist, analista capo del Threat Intelligence Group di Google. In un post su X, ha osservato che Scattered Spider si basa fortemente sull'ingegneria sociale, in particolare su schemi mirati a help desk e call center.
Gli attori che portano i segni distintivi di Scattered Spider stanno ora prendendo di mira il settore assicurativo. Hanno l'abitudine di farsi strada in un settore. Le compagnie assicurative dovrebbero stare attente alle tattiche di ingegneria sociale che prendono di mira i loro call center.
— John Hultquist (@JohnHultquist) 16 giugno 2025
La tattica non è nuova, ma rimane efficace. Invece di affidarsi a exploit complessi o malware, il gruppo si spaccia spesso per dipendenti o collaboratori per convincere il personale a reimpostare le password o a condividere credenziali di accesso sensibili. Questo approccio offre agli aggressori un modo per entrare senza dover violare la sicurezza.
Sebbene Google non abbia reso pubblici i nomi delle aziende colpite da quest'ultima ondata di attacchi, Erie Insurance, un fornitore con sede in Pennsylvania, ha segnalato una violazione il 7 giugno. L'azienda non ha confermato chi ci sia dietro, ma la tempistica coincide con l'avvertimento di Google. Erie ha rilasciato aggiornamenti ai clienti, ma non ha ancora condiviso dettagli sulla reale portata dell'intrusione.
Nel frattempo, anche la divisione assicurativa di Scania sarebbe stata colpita, rafforzando le preoccupazioni circa il fatto che il gruppo stia concentrando la propria attenzione sulle compagnie assicurative.
🚨Avviso di violazione dei dati‼️ 🇸🇪Svezia – Scania Financial ServicesUn autore della minaccia che utilizza l'alias "hensi" afferma di aver violato il sottodominio insurance.scaniacom, ottenendo presumibilmente l'accesso e sottraendo un set completo di file.
L'attore afferma che si tratta di una prima intrusione... pic.twitter.com/aPP09wSjhB
Dave Gerry, CEO di Bugcrowd, afferma che la recente attività mette in luce i rischi di lunga data nel modo in cui le aziende gestiscono i sistemi di supporto interni.
"Hanno sfruttato le vulnerabilità con tattiche di ingegneria sociale, concentrandosi su help desk e call center, dove l'essere umano è spesso l'anello debole", ha affermato Gerry. "Edizioni come quella di Erie Insurance dimostrano quanto sia importante per il settore assicurativo rivedere le proprie difese e strategie di risposta agli incidenti. Non si tratta di eventi isolati. È un fenomeno mirato e continuativo".
Le compagnie assicurative detengono dati finanziari e personali sensibili, un bersaglio allettante per gli aggressori. Ma ciò che le rende particolarmente vulnerabili è la combinazione di informazioni di alto valore e complessi sistemi di assistenza clienti, che spesso richiedono al personale di gestire richieste di accesso urgenti o modifiche ai conti.
Quando gli autori della minaccia riescono a impersonare membri dello staff o clienti in modo abbastanza convincente, gli addetti all'help desk potrebbero inconsapevolmente cedere l'accesso a strumenti interni o account utente.
Le organizzazioni dovrebbero rivedere il modo in cui i team di supporto verificano l'identità e gestiscono l'accesso agli account. La verifica in più fasi, una migliore formazione e la limitazione delle autorizzazioni possono contribuire a ridurre il rischio di un attacco di ingegneria sociale riuscito.
HackRead
