MGM RESORTS INTERNATIONAL 
Da più di sei mesi, l'FBI conosce l'identità di almeno una dozzina di membri legati al gruppo di hacker responsabili delle devastanti irruzioni di settembre presso gli operatori di casinò MGM Resorts International e Caesars Entertainment, secondo quattro persone che hanno familiarità con l'indagine.
I dirigenti del settore hanno dichiarato a Reuters di essere sconcertati dall'apparente mancanza di arresti, nonostante molti degli hacker abbiano sede in America.
"Mi piacerebbe che qualcuno me lo spiegasse", ha detto Michael Sentonas, presidente di CrowdStrike, una delle aziende che sta guidando gli sforzi di risposta agli hacker.
"Per un gruppo così piccolo, stanno assolutamente creando scompiglio", ha detto Sentonas a Reuters in un'intervista del mese scorso.
Sentonas ha detto che gli hacker sono "conosciuti", ma non ha fornito dettagli. Ha detto: "Penso che ci sia un fallimento qui". Alla domanda su chi fosse responsabile del fallimento, Sentonas ha risposto: "Le forze dell'ordine".
L'FBI ha dichiarato che sta indagando sugli hack delle società di gioco, ma un portavoce dell'agenzia ha rifiutato di commentare il gruppo più grande responsabile o la posizione dell'indagine. Anche un portavoce del Dipartimento di Giustizia ha rifiutato di commentare.
Da più di sei mesi, l'FBI conosce l'identità di almeno una dozzina di membri legati al gruppo di hacker responsabile delle devastanti irruzioni di settembre presso gli operatori di casinò MGM Resorts International e Caesars Entertainment, secondo quattro persone che hanno familiarità con l'indagine.
Soprannominato da alcuni professionisti della sicurezza "Scattered Spider", il gruppo di hacking è attivo dal 2021, ma ha conquistato le prime pagine dei giornali a seguito di una serie di intrusioni in diverse aziende americane di alto profilo.
La violazione di MGM ha interrotto le operazioni nei suoi casinò e hotel per giorni ed è costata all'azienda circa 100 milioni di dollari di danni, ha dichiarato in un documento normativo il mese scorso. Caesars ha pagato circa 15 milioni di dollari di riscatto per riottenere l'accesso ai suoi sistemi dagli hacker, secondo quanto riportato dal Wall Street Journal.
Nessuna delle due società ha risposto a una richiesta di commento.
CrowdStrike, Mandiant di Alphabet, Palo Alto Networks e Microsoft sono tra le principali aziende americane di cybersicurezza che rispondono alle violazioni di aziende private da parte degli hacker. Alcune hanno raccolto prove che portano all'identità degli hacker e stanno assistendo le forze dell'ordine, secondo i cinque addetti ai lavori.
Le fonti affermano che, dopo gli hackeraggi dei casinò di settembre, l'indagine dell'FBI ha assunto una nuova urgenza. I funzionari dell'FBI hanno iniziato a esaminare le operazioni degli hacker più di un anno fa.
Gli analisti della sicurezza che seguono le violazioni, nel frattempo, hanno trovato una serie di vittime in quasi tutti i settori, a partire dalle telecomunicazioni e dalle aziende di outsourcing fino alle società di servizi sanitari e finanziari.
In totale, circa 230 organizzazioni sono state colpite dall'inizio dello scorso anno, secondo un conteggio effettuato dalla società di cybersicurezza ZeroFox, con sede a Baltimora, Maryland, che ha aiutato Caesars a contenere le conseguenze.
L'amministratore delegato di ZeroFox, James Foster, ha attribuito la lentezza della risposta delle forze dell'ordine alla mancanza di personale. Negli ultimi anni, numerosi articoli di stampa hanno suggerito che il Bureau sta perdendo molti dei suoi migliori agenti informatici a favore del settore privato, che offre loro stipendi più alti.
"Le forze dell'ordine, certamente a livello federale, hanno tutti gli strumenti e le risorse necessarie per avere successo nella caccia ai criminali informatici", ha detto Foster. "Semplicemente non hanno abbastanza persone".
Un'altra sfida è stata l'esitazione di molte vittime a collaborare con l'FBI. Una delle fonti, un dirigente coinvolto nella difesa contro gli hacker, che ha rifiutato di essere nominato a causa della riservatezza del cliente, ha detto che "diverse" aziende vittime non hanno mai informato il Bureau di essere state compromesse - il che significa che i procuratori hanno perso la possibilità di acquisire prove potenzialmente importanti.
Questo istinto di nascondere un'intrusione non è insolito, ha detto a Reuters un ex funzionario dell'FBI che ha richiesto l'anonimato e che in precedenza ha lavorato alle indagini sul ransomware.
"Quello che ho riscontrato lavorando sui ransomware è che nove volte su dieci l'azienda non voleva collaborare", ha detto l'ex funzionario.
Una terza sfida è stata la natura poco affiatata del gruppo, che è composto da piccoli gruppi di individui che collaborano saltuariamente su lavori specifici. La struttura torbida del gruppo ha contribuito a fargli guadagnare il soprannome di "Scattered" (sparpagliato), così come un altro soprannome del settore, "Muddled Libra" (Libra confusa), tra i ricercatori.
Ad esempio, la banda dietro il lavoro al casinò si fa chiamare "Star Fraud", secondo due analisti. Fa parte di un collettivo di hacker più ampio, composto per lo più da giovani criminali informatici che usano il nome "The Com" come gergo per la loro comunità.
La maggior parte dei membri del gruppo ha sede nei Paesi occidentali, compresi gli Stati Uniti, dicono le società di cybersicurezza. In genere discutono di progetti di hacking in canali di chat condivisi sulle app di messaggistica sociale, in particolare Telegram e Discord, popolare tra i giocatori.
Un portavoce di Telegram non ha risposto a una richiesta di commento sugli hacker. Un portavoce di Discord ha rifiutato di commentare, ma ha detto che la piattaforma impedisce le attività illegali e adotta misure che includono il divieto o la chiusura di gruppi o utenti che si impegnano in tali pratiche.
Storicamente, la forma amorfa del gruppo ha reso difficile per l'FBI il coordinamento interno tra i suoi numerosi uffici sul campo in tutto il Paese, hanno detto tre persone che hanno familiarità con la questione. Per mesi, numerosi uffici sul campo hanno indagato in modo indipendente su singoli hack lanciati dallo stesso gruppo, ma non erano immediatamente consapevoli del loro collegamento, ritardando il processo.
Recentemente, l'ufficio dell'FBI di Newark, New Jersey, ha gestito un'indagine sul gruppo di hacker e sta facendo progressi, secondo queste tre persone, che non hanno fornito dettagli. Hanno aggiunto che un nuovo agente speciale è stato assegnato al caso.
Negli ultimi mesi, intanto, sono stati resi pubblici dettagli allarmanti sulle tattiche aggressive di The Coms. I suoi membri sono impegnati in una serie di schemi illeciti, dalla sextortion e dal ransomware alle truffe telefoniche e al pagamento di persone per commettere violenza fisica - nota anche come 'violenza come servizio'.
In un rapporto pubblicato da Microsoft alla fine del mese scorso, l'azienda tecnologica ha citato hacker legati a Scattered Spider che minacciavano di uccidere i dipendenti di un'organizzazione vittima, a meno che non avessero consegnato le password.
"Se non otteniamo il suo login nei prossimi 20 minuti, manderemo un tiratore a casa sua (sic)", recitava uno dei messaggi. Un altro seguiva dicendo: "Se non la pieghi, spareranno a tua moglie".
I tentativi di Reuters di contattare gli hacker per questa storia non hanno avuto successo.
"Penso che siano patologici", ha dichiarato Kevin Mandia, fondatore di Mandiant, in un'intervista rilasciata a settembre. "Abbiamo visto come interagiscono con le aziende vittime. Sono spietati".
Mandia non ha risposto direttamente alla domanda se le identità di Scattered Spider fossero note alle forze dell'ordine. Ma ha detto che non c'erano scuse per non arrestare gli hacker che operavano dall'Occidente.
"Se si trovano in nazioni democratizzate che lavorano con la comunità internazionale, bisogna prenderli", ha detto. (Servizio di Zeba Siddiqui a San Francisco, Raphael Satter e Christopher Bing a Washington; redazione di Chris Sanders e Claudia Parsons)
