Gruppi di Cybercrime Utilizzano Vishing e Abuso di SSO in Attacchi Rapidi di Estorsione SaaS L'evoluzione delle minacce informatiche Negli ultimi tempi, esperti di cybersecurity hanno lanciato l'allerta su due gruppi di cybercriminali particolarmente attivi, noti come Cordial Spider e…
Gruppi di Cybercrime Utilizzano Vishing e Abuso di SSO in Attacchi Rapidi di Estorsione SaaS
L’evoluzione delle minacce informatiche
Negli ultimi tempi, esperti di cybersecurity hanno lanciato l’allerta su due gruppi di cybercriminali particolarmente attivi, noti come Cordial Spider e Snarky Spider. Queste bande si sono distinte per la loro capacità di attuare attacchi rapidi e devastanti, operando quasi esclusivamente all’interno di ambienti SaaS (Software as a Service). La loro strategia prevede un basso profilo di attività, rendendo complesso il tracciamento delle loro azioni.
Da ottobre 2025, i ricercatori hanno osservato la crescente attività di questi gruppi, che operano in modo mirato per rubare dati e attuare estorsioni. Entrambi i gruppi sono collegati a un ecosistema criminale noto come “The Com”, e le loro tecniche di attacco hanno mostrato somiglianze significative con quelle di altri gruppi di cybercrime, come ShinyHunters, che utilizza anche il vishing (voice phishing) per indurre le vittime a fornire credenziali sensibili.
Tattiche di attacco: vishing e abuso di SSO
Quelli che colpiscono principalmente sono utenti di SaaS, ai quali i criminali inviando comunicazioni vocali ingannevoli, nella quale si spacciano per personale IT. Questi attacchi sono accompagnati da pagine di login false, che sfruttano le tecnologie di Single Sign-On (SSO) per raccogliere informazioni sensibili. Una volta ottenuti i dati di autenticazione, gli attaccanti possono entrare direttamente nelle applicazioni SaaS integrate, bypassando le misure di sicurezza, tra cui l’autenticazione a due fattori (MFA).
Un report di CrowdStrike ha sottolineato come questa strategia consenta ai gruppi di minimizzare i segni lasciati durante le loro incursioni, accelerando così il loro impatto dannoso. La rapidità e la precisione delle loro operazioni rendono difficile la rilevazione e la prevensione per le aziende bersaglio.
Problemi di sicurezza per le aziende in Italia
Le aziende italiane, che sempre più si affacciano al mondo delle soluzioni SaaS, devono fare i conti con queste nuove forme di attacco. Le tecniche di living-off-the-land (LotL) utilizzate dai due gruppi, che fanno affidamento su risorse legittime per muoversi all’interno delle reti aziendali, possono mettere in grave pericolo anche le realtà con sistemi di sicurezza più robusti.
Un esempio preoccupante si verifica nel settore retail e hospitality, dove i gruppi hanno recentemente concentrato i loro sforzi, impersonando il personale dell’help desk per ingannare le vittime a concedere accesso a informazioni sensibili. La situazione è aggravata dall’uso di tecniche di social engineering che consentono di estrarre informazioni dai registri interni delle aziende, creando ulteriori opportunità per i criminali.
Conclusione: la necessità di una maggiore consapevolezza
Le aziende italiane devono adottare un approccio proattivo nella protezione dei propri dati e delle proprie infrastrutture. È fondamentale formare i dipendenti sui rischi legati al vishing e alle email di phishing, così come implementare sistemi di sicurezza che monitorino e rilevino modifiche anomale ai dispositivi registrati. Investire in misure di sicurezza robustissime può aiutare a prevenire attacchi futuri e a salvaguardare la reputazione e la fiducia dei clienti. La minaccia di vishing e abusi di SSO è reale e richiede una risposta unita e coordinata da parte di tutte le organizzazioni.
