ROMA – Finte mail Sda, Telecom Italia ed Enel: messaggi di posta elettronica simili in tutto e per tutto agli originali che invitano ignari utenti a cliccare su link infetti che inviano ransomware, software malevoli in grado di attaccare i pc dei destinatari e cifrarne i contenuti. Motivo? Per ottenere la chiave di decriptaggio si è obbligati a pagare un riscatto. L’intricata cyber truffa internazionale è stata scoperta dalla società di sicurezza ReaQta. Gli esperti informatici sono risaliti fino ad una cittadina in Ucraina. Secondo i tecnici esiste una crescente economia criminale che viaggia da Est verso Ovest: uno dei Paesi target prediletti è l’Italia.
La notizia è riportata in anteprima da Carola Frediani sul quotidiano La Stampa.
L’operazione di cyber estorsioni si basa sull’invio di finte email che simulano di essere state mandate da importanti aziende nazionali: per l’Italia si tratta di Enel, SDA (Poste Italiane) e Telecom Italia; per la Danimarca e Spagna rispettivamente di Post Danmark e Correos, le poste dei due Paesi.
Come avviene l’infezione? Ad esempio con finte mail SDA Express Courier che dicono di scaricare e stampare un’etichetta di spedizione per ritirare un pacco arrivato in un ufficio postale. Se l’utente clicca sul link e scarica l’etichetta, viene infettato da un virus Crypt0L0cker che in breve tempo cripta i file del computer e chiede un riscatto per sbloccarlo. In altri casi le mail rimandano prima a finti siti da cui a sua volta si scarica il malware.
Le mail inviate sono fatte bene, tranne per l’italiano decisamente zoppicante. Ma come accade spesso in questi casi, i truffatori contano sulla fretta e disattenzione degli utenti o sul fatto che nelle aziende alcuni account mail possono essere gestiti da varie persone, il che può generare più facilmente confusione. L’infrastruttura di cyber estorsioni è inoltre abbastanza sofisticata: le mail inviate ad italiani rimandano a un sito da cui solo chi sta fisicamente in Italia (chi ha indirizzo IP italiano) può scaricare il malware, in modo da focalizzare gli sforzi sui target desiderati. Ma soprattutto i ricercatori di ReaQta hanno individuato l’origine (e lo specifico indirizzo IP) di questa campagna internazionale sviluppata su più Paesi: si tratta della città ucraina di Mariupol. Da qui l’individuo o il gruppo che tira le fila delle cyber estorsioni gestisce quattro server in Russia (due da cui distribuisce il ransomware, e due da cui lo controlla); due server in Germania; uno in Ucraina.
Non solo: i ricercatori hanno individuato anche il numero di vittime (un migliaio in una settimana, 204 aziende) e alcune delle categorie cui appartengono (soprattutto industria dei servizi e privati). Dei tre Paesi l’Italia è la più colpita, e i vettori di attacco tramite finte mail SDA ed Enel sono i più infettivi. Il riscatto richiesto è in genere di 299 euro (da pagare entro 5 giorni), ma cresce fino a 600 dopo la scadenza.
Ma come è stata individuata e tracciata questa campagna specifica? «Siamo partiti dalla segnalazione di un cliente e siamo poi risaliti fino un server in Croazia che l’attaccante aveva compromesso per poi distribuire da lì i ransomware. Poi, anche a causa di alcuni errori dell’attaccante, abbiamo individuato il suo indirizzo IP di casa», spiega alla Stampa Alberto Pelliccione, Ceo di ReaQta, che aggiunge come abbiano già contattato il gestore del sito croato (all’oscuro di quanto stava avvenendo), il quale ha quindi sporto denuncia. «Il server in Croazia ospitava i siti di phishing così da non far mai puntare gli utenti direttamente sui siti di distribuzione vera del malware. In questo modo, se uno dei siti salta, possono girare la catena al volo sugli altri senza perdere quelli che diffondono il software malevolo».
Detto altrimenti: i criminali dividono l’infrastruttura tra i siti di phishing che simulano di essere il finto sito Enel o delle Poste ecc e su cui mandano gli utenti, e i siti da cui si scarica il malware vero e proprio spesso ospitati nel cloud. «I finti portali di phishing vengono caricati su siti web di persone o aziende ignare “bucati” a causa di vulnerabilità spesso dovute a mancati aggiornamenti oppure su domini registrati ad hoc con credenziali fittizie come ad esempio sda-tracking24.com o sda-tracking.com», spiega alla Stampa Paolo Dal Checco, esperto di informatica forense che da tempo si occupa di ransomware.
Mentre il malware è collocato altrove. Questa compartimentazione e l’uso di servizi cloud, come Dropbox o Google Drive, da parte di tali gruppi soddisfa varie esigenze. «Invece di mandare direttamente un file che ti infetta lo collocano sul cloud (cui poi si viene indirizzati in vario modo)», aggiunge Dal Checco. «Tra i vantaggi c’è la possibilità di cambiare spesso il link al download per essere più sfuggenti; ma è vantaggioso anche in termini contabili, perché così tengono meglio traccia delle campagne dei loro stessi clienti, dato che molti di questi gruppi affittano i loro servizi ad altri attraverso uno schema di software come servizio». Nello specifico, ransomware come servizio.