L’attacco che ha colpito Marks & Spencer (conosciuta meglio come M&S) durante il fine settimana di Pasqua si configura come uno dei più gravi episodi di cybercriminalità che abbia colpito il Regno Unito negli ultimi anni. Dietro tutto questo si cela Scattered Spider, un nome che nel mondo della cybersicurezza inizia a diventare ricorrente. Una delle catene di abbigliamento più iconiche della middle class britannica, attiva dal 1884, si è trovata improvvisamente vulnerabile, con scaffali mezzi vuoti, e-commerce paralizzato, dati sensibili trafugati.
Chi desiderava acquistare online è stato costretto a tornare nei 1049 punti vendita fisici, come se il tempo fosse improvvisamente tornato indietro. Non si tratta di un blackout digitale, ma qualcosa dall’impatto tremendamente più grave. A confermare la portata del danno è stato direttamente il CEO Stuart Machin le cui parole sottolineano le evidenti difficoltà, dato che afferma come la normalità non tornerà prima di luglio 2025 e l’impatto si farà sentire nei bilanci, con un calo degli utili stimato intorno ai 300 milioni di sterline.
Ma il danno economico è solo una parte del problema. I dati trafugati comprendono informazioni di clienti e dipendenti, rendendo vulnerabili non solo i sistemi, ma anche le persone, ad attacchi mirati come il phishing. Il colpo non ha risparmiato nemmeno altri simboli della vendita al dettaglio britannica, considerando come Harrods e Coop sono nella lista dei bersagli, anche se con livelli d’impatto differenti.
Scattered Spider: adolescenti anglofoni e attacchi globali
A differenza di molte delle gang informatiche che solitamente operano dalla Russia o dalla Corea del Nord, Scattered Spider ha un’identità linguistica che stupisce gli esperti. Si tratterebbe, infatti, di un gruppo composto esclusivamente da giovani madrelingua inglese, britannici, canadesi, americani, che fanno leva su tecniche di social engineering per infiltrarsi nei sistemi aziendali. La truffa più frequente da loro usata è quella di fingere di essere dipendenti in difficoltà con i reparti IT, sfruttando l’accento familiare per guadagnare fiducia e accesso.
Secondo Paul Foster, direttore dell’unità di cybercriminalità della National Crime Agency (NCA), i membri del gruppo sono adolescenti e giovani adulti, attivi su canali come Telegram e Discord. Nonostante la loro età, i danni che provocano sono enormi e per le autorità catturarli è una priorità assoluta, come dichiarato anche dallo stesso Foster a sottolineare quanto il fenomeno sia radicato ma al contempo ancora sfuggente. Scattered Spider, in passato, ha preso di mira colossi del gioco d’azzardo come Caesars Entertainment e MGM Resorts, ma anche le infrastrutture pubbliche, come la rete di trasporti londinese. Il gruppo è noto anche con alias come Muddled Libra, Octo Tempest e Scatter Swine, a conferma della sua natura eclettica.
Un ex hacker, ora professionista della cybersicurezza, ha spiegato alla BBC come sia semplice per un adolescente procurarsi gli strumenti per sferrare attacchi di questa portata: “È tutto lì, online. A quell’età puoi sentirti intoccabile.” Un senso di impunità che, combinato con abilità tecniche accessibili e piattaforme di comunicazione criptate, sta trasformando il volto del crimine informatico. Ciaran Martin, ex capo del National Cyber Security Centre e oggi docente a Oxford, ha definito “inusuale” la composizione esclusivamente anglofona del gruppo. Il caso Marks & Spencer è il sintomo di un cambiamento nella natura delle minacce digitali. E mentre le aziende corrono ai ripari, una generazione di hacker adolescenti si muove nell’ombra, più fluida e pericolosa che mai.
