Vishing e AiTM bypassano l'MFA: estorsioni invisibili nel SaaS
Gruppi criminali come Cordial Spider usano vishing e AiTM per bypassare l'MFA e colpire ambienti SaaS. Scopri come proteggere i dati aziendali da queste estors…
Contenuto
I gruppi criminali Cordial Spider e Snarky Spider stanno portando avanti attacchi estorsivi ad alto impatto sfruttando il vishing e l'abuso di SSO per operare esclusivamente negli ambienti SaaS, lasciando tracce minime. Questa evoluzione delle estorsioni "invisibili" bypassa l'MFA e mette a rischio i dati aziendali con esfiltrazioni ad alta velocità senza rilasciare malware tradizionale. Nel primo trimestre 2025, oltre il 60% degli interventi di risposta a incidenti legati al phishing era già rappresentato dal vishing.
- I cluster Cordial Spider e Snarky Spider, attivi da ottobre 2025, espandono le minacce con tattiche coerenti agli attacchi estorsivi del gruppo ShinyHunters.
- Il cluster CL-CRI-1116 prende di mira attivamente i settori retail e ospitalità da febbraio 2026.
- Dopo il furto di credenziali SSO, gli attaccanti registrano nuovi dispositivi MFA e creano regole di eliminazione dei messaggi per sopprimere le notifiche.
- Bastano 3 secondi di audio per produrre una replica vocale convincente tramite il cloning per campagne vishing.
- ShinyHunters (UNC6240) opera come servizio di estorsione (EaaS), ricevendo il 25-30% dei pagamenti come intermediario.
Attori e contesto delle nuove campagne estorsive
I cluster criminali Cordial Spider e Snarky Spider, valutati attivi almeno da ottobre 2025, rappresentano un'espansione delle minacce informatiche. Come rivelato da Mandiant a gennaio 2026, le tattiche di questi due gruppi sono coerenti con gli attacchi estorsivi portati avanti dal gruppo ShinyHunters.
In particolare, il cluster identificato come CL-CRI-1116 sta prendendo di mira attivamente il settore retail e dell'ospitalità da febbraio 2026. Queste campagne mirano all'avvio di attività di estorsione, cercando canali di guadagno finanziario aggiuntivi prendendo di mira anche aziende nel settore delle criptovalute.
ShinyHunters (UNC6240) funziona come un servizio di estorsione (EaaS), operando spesso come intermediario e ricevendo il 25-30% di qualsiasi pagamento estorsivo dalle vittime, mentre gli altri gruppi criminali ottengono la restante parte. Non esiste un settore immune da questa dinamica.
Come vishing e AiTM bypassano l'MFA e intossicano il SaaS
La tecnica d'attacco sfrutta il voice phishing (vishing) per dirigere gli utenti verso pagine malevole con tema SSO di tipo adversary-in-the-middle (AiTM). Come spiegato da CrowdStrike Counter Adversary Operations, "In most cases, these adversaries use voice phishing (vishing) to direct targeted users to malicious, SSO-themed adversary-in-the-middle (AiTM) pages, where they capture authentication data and pivot directly into SSO-integrated SaaS applications".
Una volta ottenute le credenziali di accesso Single Sign-On (SSO) e i codici di autenticazione a più fattori (MFA), gli attaccanti registrano il proprio dispositivo per l'MFA. Procedono quindi a rimuovere i dispositivi esistenti e a sopprimere le notifiche email automatiche configurando regole di eliminazione dei messaggi.
Operando quasi esclusivamente all'interno degli ambienti SaaS fidati, gli attaccanti avviano movimenti laterali attraverso la rete dell'azienda. Esfiltrano dati dalle piattaforme SaaS, come SharePoint, e utilizzano gli account di posta elettronica compromessi per inviare ulteriori e-mail di phishing ai contatti aziendali.
L'impatto dell'IA e la sfida per i defender
L'analisi tecnica suggerisce che l'integrazione dell'intelligenza artificiale nel vishing stia accelerando i tempi di impatto delle estorsioni. L'FBI ha emesso l'avviso PSA250515 a maggio 2025 mettendo in guardia contro l'uso di messaggi vocali generati dall'IA per impersonare funzionari governativi statunitensi.
I numeri confermano l'escalation: si è registrato un aumento del 442% degli attacchi vishing tra il primo e il secondo semestre del 2024. Inoltre, il 70% delle organizzazioni è rimasta vittima di un attacco di voice phishing e le perdite previste per frodi basate su deepfake potrebbero raggiungere i 40 miliardi di dollari entro il 2027.
Bastano solo 3 secondi di audio per produrre una replica convincente della voce di qualcuno con il cloning.
La combinazione di velocità, precisione e operatività esclusiva nel SaaS crea sfide significative per la visibilità e il rilevamento. Come evidenziato da CrowdStrike, "By operating almost exclusively within trusted SaaS environments, they minimize their footprint while accelerating time to impact. The combination of speed, precision, and SaaS-only activity creates significant detection and visibility challenges for defenders."
Cosa fare adesso
Di fronte a campagne estorsive che sfruttano il vishing e operano esclusivamente all'interno degli ambienti SaaS fidati, le organizzazioni devono adottare contromisure specifiche per limitare l'esposizione e bloccare i movimenti laterali invisibili.
Verificare e restringere le regole di inoltro e cancellazione automatica delle email nei tenant SaaS per intercettare tempestivamente la soppressione delle notifiche di sicurezza. Monitorare attivamente la registrazione di nuovi dispositivi MFA e le rimozioni di dispositivi esistenti, configurando avvisi per anomalie comportamentali.
Includere scenari di compromissione di account SaaS, furto dati da SharePoint, estorsione via email e minacce contro i dirigenti nei tabletop exercise e nei piani di business continuity. Le organizzazioni devono considerare l'impatto di gang come BlackFile, che usano vishing e swatting per colpire retail e hotel.
Implementare l'autenticazione a più fattori basata su chiavi di sicurezza FIDO2 o metodi resistenti al phishing, che invalidano gli attacchi AiTM. Isolare gli ambienti cloud critici segmentando rigorosamente i livelli di accesso SSO per le applicazioni SaaS integrate.
Il punto non è solo che le tecniche di vishing e AiTM possono rubare credenziali SSO. Il rischio reale è che l'ambiente SaaS fidato diventi esso stesso il vettore di compromissione e la base per esfiltrare dati ad alta velocità, rendendo i perimetri di sicurezza tradizionali inefficaci contro estorsioni che non rilasciano malware.
Domande frequenti
- Come opera il gruppo ShinyHunters negli attacchi estorsivi?
- ShinyHunters funziona come servizio di estorsione (EaaS), operando come intermediario e ricevendo il 25-30% dei pagamenti, mentre gli altri gruppi criminali eseguono materialmente l'attacco e ottengono la restante parte.
- Cosa sono le pagine AiTM nel vishing?
- Le pagine AiTM (Adversary-in-the-Middle) sono siti malevoli a tema SSO dove gli attaccanti intercettano credenziali e token di autenticazione in tempo reale, permettendo di bypassare l'MFA e accedere alle app SaaS integrate.
- Come viene bypassata l'autenticazione a più fattori (MFA) in questi attacchi?
- Dopo aver catturato le credenziali SSO tramite pagine AiTM, gli attaccanti registrano un nuovo dispositivo per l'MFA, rimuovono i dispositivi legittimi e sopprimono le notifiche email di sicurezza configurando regole di eliminazione dei messaggi.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.netech-solution.it/2026/03/17/vishing-e-strumenti-di-attacco-automatizzati-minacciano-gli-ambienti-cloud/
- https://www.matricedigitale.it/2026/04/29/blackfile-vishing-ransomware/
- https://prothect.it/sicurezza-informatica/shinyhunters-espande-gli-attacchi-di-estorsione-come-proteggere-i-dati-cloud-aziendali/
- https://www.proofpoint.com/us/threat-reference/vishing
- https://www.sentinelone.com/cybersecurity-101/cybersecurity/what-is-vishing/