Settimana 44: «Black Basta» - Lo spam al servizio della cifratura: variante di attacco sofisticata alle aziende

05.11.2024 - Un caso segnalato all’UFCS la scorsa settimana illustra come il gruppo ransomware «Black Basta» riesca a infettare le aziende con il ransomware. Il primo passo consiste nell’inviare alla vittima una miriade di e-mail di spam. Successivamente, falsi addetti all’assistenza contattano l’utente tramite Microsoft Teams o per telefono per riparare presumibilmente il danno. L’obiettivo è accedere al computer per installare il malware.

Oltre ai vettori di attacco come lo sfruttamento delle vulnerabilità o il cracking di password deboli, sono ancora frequenti i tentativi di installare malware interagendo direttamente con gli internauti. Una volta conquistata la fiducia delle vittime, i truffatori le convincono a installare il malware. Per riuscire nell’intento però in molti casi non è più sufficiente inviare un’e-mail chiedendo di aprirne l’allegato. Nella retrospettiva settimanale 2024/43 l’UFCS aveva già raccontato come i cibercriminali siano corsi ai ripari per aggirare misure di sicurezza come l’autenticazione a due fattori.

Lo stesso vale per coloro che intendono diffondere malware. Negli ultimi anni i sistemi di sicurezza antimalware si sono evoluti. Molti sistemi operativi dispongono di programmi antivirus integrati, aggiornamenti automatici o firewall di serie. Inoltre, agli utenti viene solitamente chiesto più volte se vogliono davvero installare il software, indicandone anche il grado di affidabilità. Così, anche le varianti di attacco utilizzate per aggirare queste misure di sicurezza si sono adattate. Un metodo particolarmente sofisticato utilizzato contro le aziende è quello del gruppo «Black Basta». Il caso notificato all’UFCS la settimana scorsa ne è un esempio.

L’attacco è iniziato con l’invio di e-mail di spam ogni secondo: nel caso in questione si trattava di circa 50-100 e-mail al minuto. Si trattava di registrazioni a newsletter o negozi web, richieste di reimpostazione di password e molto altro ancora. Il cosiddetto «e-mail bombing» è noto anche nel quadro di altri attacchi. L’obiettivo può essere quello di bloccare la casella di posta elettronica, ma anche di distrarre dalle e-mail importanti che poi si perdono nella marea di altri messaggi. In questo caso, tuttavia, l’intenzione era diversa. Gli aggressori volevano convincere gli utenti a chiedere aiuto all’helpdesk.

E-mail bombing: l’account di posta elettronica della vittima viene inondato di e-mail.
E-mail bombing: l’account di posta elettronica della vittima viene inondato di e-mail.

In una seconda fase, i malintenzionati contattano la vittima tramite Microsoft Teams fingendo di essere collaboratori del supporto o del reparto informatico dell’azienda. Per farlo utilizzano nomi affidabili come «Help Desk» per non destare sospetto tra gli utenti. Nel corso della chat, i truffatori inviano codici QR camuffati da codici QR legittimi dell’azienda. Poiché la richiesta proviene dall’helpdesk di fiducia, le vittime ignorano anche gli avvisi di sicurezza. Se la vittima dovesse comunque essere scettica, l’operatore di supporto la rassicura immediatamente. Quando gli utenti scansionano questi codici QR, scaricano inconsapevolmente malware che gli aggressori possono utilizzare per installare ransomware e compromettere le reti.

Oltre alle chat in Microsoft Teams, i cibercriminali utilizzano anche le chiamate Voice over IP (VoIP) per ingannare ulteriormente gli utenti e indurli a scaricare programmi di manutenzione remota, che consentono di accedere direttamente ai sistemi degli utenti.

Dietro l’attacco in questione c’era un gruppo di ransomware chiamato «Black Basta», apparso per la prima volta nell’aprile del 2022. Il modello che utilizzano è il «Ransomware-as-a-Service» (RaaS), in cui il ransomware viene offerto come servizio sulla darknet. Ciò consente anche ai criminali meno rodati nella tecnologia di effettuare attacchi noleggiando il ransomware e corrispondendo parte del riscatto agli sviluppatori. Nel caso di «Black Basta», i dati non sono solo cifrati, ma anche rubati. Così le vittime possono cadere in un doppio ricatto. I danni causati da questo ransomware sono molto elevati anche in Svizzera.

Raccomandazioni

  • Sensibilizzate i vostri collaboratori a questa variante di truffa;
  • Le aziende dovrebbero utilizzare un sistema di whitelisting delle applicazioni come «AppLocker». Molti attacchi di questo tipo non vanno così a segno;
  • Non consentite a nessuno di accedere al vostro computer da remoto. Se avete concesso l’accesso remoto, è possibile che il vostro computer sia stato infettato. In questo caso, fate esaminare il vostro computer da uno specialista.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 05.11.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2024/wochenrueckblick_44.html