27.04.2021 - La scorsa settimana il Centro nazionale per la cibersicurezza (NCSC) ha ricevuto moltissime segnalazioni, dovute soprattutto un’ondata di fake sextortion. Sono state segnalate anche e-mail contenenti una minaccia di aggressione con l’acido. Si osserva poi un aumento delle segnalazioni riguardanti la criptazione di memorie di massa collegate alla rete (NAS) prodotte da QNAP.
Statistiche attuali
Fake sextortion – Come indurre le persone a pagare usando minacce prive di fondamento
Dopo alcuni giorni di calma sul fronte «fake sextortion», all’inizio della settimana scorsa i casi si sono moltiplicati, prendendo di mira soprattutto i clienti di Swisscom/Bluewin. Le minacce sono sempre le stesse: gli aggressori sostengono di essere entrati nel computer del destinatario e di averlo spiato per mesi mentre consumava materiale pornografico. Tramite la webcam della vittima sarebbero state ottenute immagini compromettenti che verranno divulgate se non verrà pagata la somma richiesta.
Per dimostrare che l’account è davvero stato craccato, gli aggressori dichiarano di aver inviato la minaccia dall’indirizzo del destinatario. Nelle e-mail gli indirizzi di mittente e destinatario sono effettivamente identici. Gli aggressori fanno leva sull’insicurezza delle vittime, poiché non molti sanno che l’indirizzo del mittente di un’e-mail può essere falsificato molto facilmente e senza conoscenze tecniche particolari. Tutti i programmi di posta elettronica permettono di definire il nome che si desidera far comparire come mittente. In questi casi gli aggressori non hanno accesso all’account di posta elettronica e bluffano per indurre la vittima a pagare il riscatto.
E-mail contenenti una minaccia di aggressione con l’acido
In un’altra variante di e-mail intimidatoria i truffatori minacciavano un’aggressione con l’acido solforico al volto che sarebbe stata commissionata da un amico del destinatario. Per rendere la minaccia credibile viene riportato l’indirizzo di casa del destinatario. L’aggressione può essere evitata inviando 550 euro a un indirizzo Bitcoin. L’indirizzo Bitcoin è sempre lo stesso ed è già stato utilizzato in passato per e-mail simili. In questo caso si tratta di un raggiro.
Sulle pagine di Bitcoin-Abuse www.bitcoinabuse.com si può verificare se l’indirizzo Bitcoin è già stato utilizzato per altre attività fraudolente.
https://www.bitcoinabuse.com/
Dispositivi di archiviazione collegati alla rete (NAS) prodotti da QNAP attaccati da ransomware
La scorsa settimana è stato segnalato all’NCSC un numero crescente di criptazioni di memorie di massa collegate alla rete (NAS) prodotte dalla società QNAP accompagnate da richieste di riscatto. In questi casi probabilmente gli aggressori sfruttano la vulnerabilità CVE-2020-36195, per la quale il 16 aprile 2021 l’azienda QNAP ha pubblicato un aggiornamento. L’NCSC raccomanda di aggiornare subito le app Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync e, in generale, di tenere aggiornati i sistemi di tutti i dispositivi.
Nel frattempo QNAP ha reagito agli attacchi e in un articolo consiglia agli utenti di installare la versione più recente di Malware Remover e di eseguire una scansione del NAS.
Se i dati utente sono o vengono criptati, QNAP raccomanda di non spegnere il NAS, ma di eseguire immediatamente una scansione di malware con la versione più recente di Malware Remover e di rivolgersi al supporto tecnico:
https://service.qnap.com/.
Se il dispositivo QNAP non è stato riavviato dopo la criptazione, è infatti possibile ripristinare la password partendo dal file «7z.log».
In generale, si raccomanda di permettere l’accesso diretto da Internet al dispositivo di archiviazione collegato alla rete soltanto se assolutamente necessario. QNAP raccomanda inoltre di modificare la porta di rete standard 8080 per accedere all’interfaccia utente del NAS.
Ulteriori informazioni sono disponibili sul sito di QNAP:
https://www.qnap.com
Ultima modifica 27.04.2021