Introduzione
Si chiama Voldemort, come il cattivo della saga di Harry Potter, il nuovo malware che ha già colpito oltre 70 organizzazioni nel mondo, inclusa l’Italia, fingendo di essere il Fisco. A rivelarlo è il Threat Research Team di Proofpoint, una società di cybersicurezza che ha identificato la nuova campagna malevola la quale, tramite il phishing, invia alle vittime messaggi nei quali si dichiara la presenza di informazioni fiscali aggiornate con link e documenti associati. Se si clicca sul link si viene indirizzati a un sito malevolo e viene scaricato il malware.
Il malware non è stato ancora fermato ma alcuni dettagli appaiono già chiari: sembra infatti che abbia notevoli capacità di esfiltrazione ed eliminazione di file, tanto da far pensare che sia quasi più interessato a spiare che ad avere un ritorno finanziario. Ancora ignota la mente dietro questa campagna. Per proteggersi è consigliabile limitare l'accesso ai servizi di condivisione di file esterni ai soli server affidabili.
Quello che devi sapere
Il virus
- Ha il nome di un cattivo della letteratura e del cinema il nuovo software malevolo che sta circolando nel mondo da qualche settimana. Si chiama Voldemort, come il mago oscuro della saga di Harry Potter, si traveste da e-mail del Fisco e ha già colpito oltre 70 organizzazioni nel mondo, anche in Italia
Per approfondire:
Ransomware, bisognerebbe vietare il pagamento del riscatto? PODCAST
Gli obiettivi
- I cybercriminali lo stanno utilizzando per sottrarre dati sensibili alle loro vittime, e fra le realtà prese di mira ci sono tante compagnie assicurative. A rivelarlo è il Threat Research Team di Proofpoint, una società di cybersicurezza che ha identificato la nuova campagna malevola a partire dallo scorso 5 agosto
Dove si sono registrati i maggiori casi/1
- Secondo i ricercatori, nel corso di queste settimane i cybercriminali hanno inviato alle loro vittime circa 20 mila messaggi di posta elettronica spacciandosi per le autorità fiscali di Europa, Asia e Stati Uniti
Dove si sono registrati i maggiori casi/2
- Tra coloro che si sono visti sostituiti dal malware ci sono in particolare le agenzie fiscali negli Stati Uniti (Internal Revenue Service), in Italia (Agenzia delle Entrate), nel Regno Unito (Hm Revenue & Customs), in Francia (Direction Générale des Finances Publiques) e in Germania (Bundeszentralamt für Steuern). Successivamente ha anche colpito India (Income Tax Department) e Giappone (National Tax Agency). Ogni esca era personalizzata e scritta nella lingua dell’autorità impersonata
Come funziona/1
- Con il pretesto di notificare documenti ufficiali, gli hacker si sono infiltrati all'interno dei sistemi delle vittime. Hanno raggiunto più di 70 organizzazioni, al culmine della loro attività anche 6 mila in un solo giorno. Il veicolo del malware è l'oramai noto phishing
Come funziona/2
- Le e-mail, infatti, non sono altro che un'esca che impersona le autorità fiscali di un Paese e comunica alle vittime che ci sono informazioni fiscali aggiornate includendo link a documenti associati. Se la vittima interagisce viene indirizzata su un sito malevolo e scarica il malware
La catena d’attacco
- La catena di attacco comprende diverse tecniche attualmente diffuse nel panorama delle minacce, oltre a metodi non comuni per il comando e il controllo (C2) come l’uso di Google Sheets. Particolarmente rilevanti sono la combinazione di tattiche, tecniche e procedure (Ttp), i temi di richiamo che impersonano agenzie governative di vari Paesi e la strana denominazione dei file e delle password come "test"
C’è più interesse nello spionaggio
- Voldemort, come hanno constatato i ricercatori, ha notevoli capacità di raccolta dei dati anche attraverso l'esfiltrazione o l'eliminazione di file. Tanto che, osservando il fenomeno, gli esperti sono arrivati alla conclusione che i criminali informatici hanno "un interesse maggiore per lo spionaggio che per un ritorno finanziario". Circostanza che fa pensare che dietro questa campagna malevola si possa nascondere "il vero Voldemort", cioè un attore più minaccioso di quanto appare
Nessuna identificazione
- Secondo l'analisi, oltre la metà delle organizzazioni prese di mira appartengono ai settori assicurativo, aerospaziale, dei trasporti e dell'istruzione. Nonostante i numerosi dettagli tecnici i ricercatori non sono però riusciti a identificare il fine ultimo di questa campagna: "Riteniamo - affermano - che si tratti probabilmente di un'attività di spionaggio condotta per supportare obiettivi finali ancora sconosciuti"
Come difendersi
- Ma come fare per difendersi? In attesa di qualcuno o qualcosa che aiuti a debellare questo malware, Proofpoint consiglia di limitare l'accesso ai servizi di condivisione di file esterni ai server affidabili per difendersi da questa campagna malevola
Per approfondire:
Attacchi informatici, nel 2023 bloccate 45 milioni di email ad alto rischio: il report