I ricercatori di CrowdStrike hanno segnalato un notevole incremento di attacchi nei confronti dei gestori di telefonia mobile da parte del gruppo Scattered Spider. Si tratta di casi di SIM swapping e l'incremento si è verificato in special modo tra giugno e novembre dell’anno corrente, periodo durante cui sono stata individuate almeno 50 intrusioni nelle reti aziendali.
SIM swapping: operatori telefonici sotto attacco del gruppo Scattered Spider
Andando più nello specifico, nella quasi totalità dei casi l’accesso iniziale è stato ottenuto mettendo in atto tecniche di ingegneria sociale. I dipendenti degli operatori telefonici sono stati contattati tramite SMS, chiamate o mediante Telegram da un ipotetico staff IT, dopdoiché le vittime sono state convinte a inserire le credenziali di login in un sito simile a quello aziendale oppure a procedere con l’installazione di strumenti per il controllo remoto.
Nei casi in cui risultava abilitata l’autenticazione a due fattori, i cybercrminali hanno chiesto i codici appositi oppure hanno sfruttato la tecnica denominata MFA fatigue che prevede l’invio continuo di notifiche push. In altri casi ancora sono state sfruttate credenziali compromesse di Azure e una vulnerabilità dell’application server ForgeRock OpenAM.
Una volta ottenuto l’accesso ai sistemi interni, i cybercriminali hanno aggiunto i loro dispositivi all’elenco di quelli affidabili, in maniera tale da poter ottenere accesso diretto, mentre la persistenza è stata ottenuta con vari strumenti dediti alla gestione e al monitoraggio remoto, come TeamViewer, AnyDesk, LogMeIn, ScreenConnect e BeAnywhere.
Per evitare di incappare in circostanze del genere e in altre minacce informatiche, è sempre bene equipaggiare i propri dispositivi con un buon software antivirus, come nel caso di Norton 360 Premium.