Una banda di criminali informatici ha alzato il tiro in modo piuttosto sfacciato, e il ransomware che porta la sua firma adesso viaggia anche su gambe vere. Google e l’FBI hanno lanciato l’allarme: il gruppo noto come Silent Ransom Group a volte spedisce finti tecnici informatici direttamente negli uffici delle vittime, dove questi impostori copiano dati dai computer usando chiavette USB oppure aiutano altri complici a collegarsi da remoto. Insomma, l’intrusione fisica si mescola alla truffa digitale, e il bersaglio principale sono gli studi legali.
Venerdì i team di cybersicurezza di Google, vale a dire Mandiant e il Google Threat Intelligence Group, hanno diffuso un nuovo rapporto in cui accusano la banda di aver tentato di rubare informazioni sfruttando un accesso fisico, di persona. Gli attacchi vanno da gennaio a maggio di quest’anno e hanno colpito decine di vittime. Charles Carmakal, direttore tecnico di Mandiant, ha spiegato che la società ha già indagato su casi in cui gli aggressori avevano piazzato infiltrati, corrotto dipendenti o si erano introdotti fisicamente negli edifici per facilitare un attacco informatico. Una tattica vista anche altre volte negli anni, a quanto pare.
Il mese scorso l’FBI aveva pubblicato un avviso in cui segnalava che Silent Ransom Group stava prendendo di mira gli studi legali con tecniche di ingegneria sociale e attacchi di phishing, fingendosi personale di supporto IT. In alcuni casi, però, la banda è arrivata a inviare finti tecnici negli uffici delle vittime. Una volta lì, questi si collegavano ai computer dei dipendenti e con chiavette USB o strumenti di accesso remoto portavano via di tutto: contratti, dati personali come i numeri di previdenza sociale, documenti finanziari e fiscali.
Un portavoce dell’FBI ha confermato di aver osservato più episodi in cui individui che si spacciavano per assistenza informatica hanno ottenuto, o provato a ottenere, l’accesso fisico
agli uffici o ai dispositivi delle aziende prese di mira, sempre come parte dello schema del gruppo per sottrarre dati.C’è un dettaglio interessante in questa storia. La banda non cifra i dati delle vittime come avviene nei classici attacchi ransomware. Usa invece una tattica di estorsione ormai diffusa: gestisce un proprio sito dove minaccia di pubblicare il materiale rubato e poi lo pubblica davvero se la vittima non paga. Spesso tutto parte da una mail diretta. In un caso, secondo Google, i criminali hanno scritto a una vittima che in mancanza di risposta o di accordo avrebbero avvisato dipendenti, partner e clienti, per poi diffondere i dati.
Accanto all’intrusione di persona, restano comunque in piedi i metodi più tradizionali. Email di phishing, telefonate di follow-up, ingegneria sociale. I truffatori si fingono il supporto IT dell’azienda per convincere le vittime a concedere l’accesso ai propri computer. Secondo i ricercatori di Google, chi chiama usa istruzioni verbali studiate per guidare il comportamento del bersaglio: con la scusa di risolvere un problema di sicurezza o di aiutare in un progetto di migrazione dei dati aziendali, costruiscono fiducia e spingono la persona a entrare in una sessione di condivisione dello schermo.
A quel punto i controlli di sicurezza vengono aggirati. Le vittime vengono convinte a scaricare e aprire applicazioni di condivisione dello schermo, oppure si sfruttano le funzioni già presenti in strumenti come Zoom o Microsoft Teams. Nella maggior parte dei casi i pirati informatici rubano i dati da remoto tramite malware o phishing, ma questi episodi mostrano che alcuni di loro sono ora disposti a spingersi oltre, mescolando tecniche di hacking tradizionali e intrusioni fisiche in un salto di livello tutt’altro che trascurabile.