L’ACN ha di recente diramato un bollettino riguardo ad un nuovo tentativo di estorsione che fa leva su una presunta compromissione dei sistemi informatici aziendali.
L’e-mail estorsiva
In particolare l’attore malevolo, attraverso un messaggio di posta elettronica, comunicherebbe alla vittima l’avvenuta compromissione del sito aziendale utilizzando una presunta vulnerabilità e la conseguente sottrazione di tutti i database. La richiesta di riscatto da pagare in bitcoin entro 3 giorni ammonterebbe a 3000$.
Talvolta a corredo del messaggio, secondo quando riportato dagli esperti dell’agenzia, sarebbe stato rilevato anche l’utilizzo di dati esfiltrati per confermare la veridicità della comunicazione.
Il contenuto del messaggio è articolato secondo il modello tipico delle note a tema sextortion e della doppia estorsione ransomware. Ecco i punti salienti:
- Incipit semplice e diretto con riferimenti al target mirato;
- Descrizione della compromissione. Sfruttata una presunta vulnerabilità del sito aziendale;
- La minaccia. Danno di reputazione a più livelli (dataleak/vendita db azienda, dati clienti e contenuti caselle di posta elettronica, deindicizzazione sui motori di ricerca);
- Il rimedio. Pagare un riscatto in bitcoin;
- Cosa succede se non si paga il riscatto. Si finirà a sostenere sempre più spese per trovare una vana soluzione alternativa;
- Conclusione ad effetto. Non è uno scherzo, nessuna trattativa è ammessa. Nessun punto di contatto.
Perché il bitcoin per il pagamento del riscatto
Le criptovalute hanno diverse caratteristiche che le rendono particolarmente affini all’attività criminale:
- Per questo tipo di transazioni, pur essendo assolutamente trasparenti e tracciabili, risulta praticamente impossibile risalire al titolare di un certo portafoglio digitale, proprio per le peculiarità tipiche della criptovaluta: anonimato, trasparenza, velocità e non ripudiabilità;
- non ci sono banche/autorità centrali che segnalino le transazioni sospette o che possano intervenire per bloccare le frodi;
- i trasferimenti in criptovalute una volta avviati non possono essere annullati.
I consigli dell’ACN
L’Agenzia consiglia a utenti e organizzazioni di verificare scrupolosamente le e-mail ricevute e attivare alcune misure:
- analizzare i log dei sistemi indicati come compromessi ricercando evidenze di possibili attività malevole;
- procedere all’analisi di tutte le componenti dell’infrastruttura (sistemi operativi e applicazioni) dichiarata come compromessa;
- procedere all’aggiornamento all’ultima versione disponibile di tutte le precedenti componenti;
- procedere alla ricerca di eventuali vulnerabilità applicative e alla risoluzione delle stesse;
- implementare, qualora non presenti, sistemi di protezione come il Web Application Firewall.
Ovviamente si raccomanda di non pagare in ogni caso alcun riscatto. Il pagamento della somma richiesta oltre a non garantire alcuna soluzione, potrebbe dare adito agli attaccanti di proseguire l’illecito.
