Finti messaggi dell’Interpol usati per distribuire ransomware: come starne alla larga


I cyber criminali stanno sfruttando il nome di organizzazioni internazionali come Interpol per costruire campagne di phishing più credibili e aggressive.

Secondo l’analisi di Bitdefender, alcune e-mail fraudolente si presentano come comunicazioni ufficiali dell’Interpol e utilizzano linguaggio formale e riferimenti legali per convincere le vittime ad aprire allegati malevoli.

La tecnica sfrutta un principio ormai consolidato nel cybercrime ovvero quello di associare la minaccia a un’autorità riconosciuta per generare paura e ridurre la capacità della vittima di valutare razionalmente il messaggio.

Il destinatario viene portato a credere di essere coinvolto in un’indagine, in una violazione amministrativa o in un procedimento giudiziario, creando una situazione di urgenza che spinge ad agire senza verifiche.


L’allegato malevolo come punto di ingresso dell’attacco

La campagna analizzata da Bitdefender, che ha preso di mira piccole imprese in Europa, Asia, Medio Oriente e Stati Uniti, utilizza e-mail che informano i destinatari che gli investigatori avrebbero acquisito prove e video riguardanti la loro organizzazione, invitandoli a visionarli con urgenza.

Il messaggio sfrutta la paura di essere coinvolti in un’indagine per indurre la vittima ad agire senza riflettere.

Per consultare le presunte prove, viene fornito un link a un archivio (“archive.rar”) su Proton Drive, protetto da password, anch’essa inclusa nelle e-mail. Una volta aperto, l’archivio sembra contenere un file video che in realtà è un eseguibile per installare un payload sul sistema della vittima.

Fonte: Bitdefender.

L’obiettivo finale è quello di distribuire un ransomware che tenta di crittografare i file presenti sulle unità disponibili e mostra alle vittime un messaggio di riscatto.

In questo tipo di campagne il ransomware non viene quindi diffuso attraverso tecniche altamente sofisticate, ma sfruttando soprattutto la manipolazione dell’utente


Il meccanismo dimostra ancora una volta come il fattore umano continui a rappresentare uno degli elementi più sfruttati dagli aggressori. Anche sistemi aggiornati e protetti possono essere messi a rischio quando un utente apre volontariamente un allegato proveniente da una fonte apparentemente affidabile.

I ricercatori di Bitdefender hanno osservato che la campagna prendeva di mira organizzazioni di diversi settori, tra cui quello alimentare e agricolo, dei servizi legali, farmaceutico, dei media, tecnologico e finanziario.

Una richiesta di riscatto diversa dai modelli ransomware tradizionali

Un elemento particolarmente interessante della campagna analizzata da Bitdefender riguarda la modalità con cui viene gestita la fase di estorsione.

A differenza dei ransomware più strutturati e diffusi negli ultimi anni, dove la richiesta di pagamento viene generalmente indicata in modo chiaro attraverso una nota con un importo preciso e istruzioni dettagliate, questo caso presenta un approccio differente.

La nota lasciata sui sistemi compromessi non specifica una cifra richiesta alla vittima.


Gli aggressori invitano invece l’utente a contattarli attraverso il canale di comunicazione Tox, una piattaforma di messaggistica decentralizzata utilizzata anche in contesti criminali per ridurre il rischio di tracciamento.

Questa scelta indica un modello operativo più flessibile. Dopo aver stabilito un contatto diretto con la vittima, gli operatori possono valutare la situazione e negoziare un eventuale pagamento sulla base del valore dei dati compromessi o dell’identità del target.

Si tratta di un approccio diverso rispetto ai gruppi ransomware professionali che gestiscono vere e proprie infrastrutture di estorsione, con portali dedicati alle vittime, sistemi automatizzati di negoziazione e procedure standardizzate.

L’assenza di un sito di pagamento o di una piattaforma di negoziazione rappresenta un ulteriore indicatore che la campagna potrebbe non essere collegata a un gruppo ransomware consolidato. Il comportamento osservato suggerisce invece un’operazione più limitata, probabilmente sviluppata per singole campagne o per colpire specifici utenti.

Questo scenario apre anche un’altra ipotesi sull’origine del malware. Il ransomware potrebbe non essere un prodotto sviluppato da un’organizzazione criminale strutturata, ma un codice personalizzato oppure un assemblaggio di componenti e strumenti già disponibili pubblicamente.


La crescente disponibilità di framework, sorgenti e strumenti nel mercato clandestino permette infatti anche a gruppi meno esperti di creare malware funzionanti e utilizzarli in campagne mirate.

Come riconoscere la minaccia e proteggersi

L’utilizzo fraudolento del nome di enti istituzionali non è una novità. Già nel recente passato campagne simili hanno impersonato organizzazioni come Europol e Interpol con messaggi di phishing che accusavano falsamente le vittime di reati o violazioni ed avevano l’obiettivo di ottenere denaro o informazioni personali.

Ma la novità delle campagne più recenti è la distribuzione di malware che possono diventare un vero punto di accesso per compromettere sistemi informatici, rubare informazioni o installare strumenti utilizzati successivamente per ulteriori attività criminali.

Pertanto, la combinazione tra ingegneria sociale e malware rende queste campagne particolarmente efficaci e richiede un approccio alla sicurezza che unisca tecnologia, formazione e consapevolezza.

La prima misura di difesa consiste nel considerare sospette tutte le comunicazioni inattese che richiedono azioni immediate, soprattutto quando fanno riferimento a sanzioni, accuse, procedimenti legali o richieste urgenti.


È fondamentale evitare di aprire allegati provenienti da mittenti sconosciuti o non verificati, anche quando il documento sembra avere un aspetto professionale e verosimile.

Le organizzazioni devono inoltre adottare sistemi di filtraggio e-mail avanzati, formazione continua del personale e procedure interne per verificare comunicazioni sospette prima di compiere qualsiasi azione.

Dal punto di vista tecnico è importante mantenere aggiornati sistemi operativi e software, utilizzare soluzioni di sicurezza con capacità di rilevamento comportamentale e applicare strategie di backup.

Pertanto, come rimarcato da Bitdefender le piccole imprese rimangono gli obiettivi principali perché molte non dispongono di personale dedicato a tempo pieno alla sicurezza informatica.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Salvatore Lombardo

Source link


Di