Tempo di lettura: 2 minuti

Era da un pò che vedevo arrivare e-mail sospette, anche dalle caselle PEC. Però, insomma, è anche abbastanza normale. Quando si controlla una singola casella di posta (di solito, la propria) ogni messaggio sembra essere unico; quando invece se ne tengono monitorate alcune centinaia, allora si iniziano a notare le anomalie. E si inizia ad avere una prospettiva più ampia.

Avevo notato troppe e-mail con oggetto “Fattura cliente n. …” o “documento-aggiornato-novembre” (con i trattini? ma dai!), provenienti da mittenti diversi ma contenenti gli stessi file (fattura.rar), e la cosa ha iniziato a insospettirmi.

Ed eccolo qui: un simpatico attacco malspam, decisamente sofisticato e ben orchestrato, che ha avuto inizio nei primi giorni di Novembre e sta esplodendo in queste ore.

Le notizie che girano in questi giorni (Wired, Libero,CERT-PA) sono piuttosto veritiere, anche se in alcuni casi un pò allarmistiche. Resta comunque vero che la minaccia è molto grave, e che i trojan vengono sfruttati per sottrarre dati.

Quello che reputo degno di nota è anche l’ipotetico collegamento con il recente attacco mirato alle PEC, che ha effettivamente colpito nel segno e gli attaccanti hanno avuto accesso a dati riservati (le PEC sono come le raccomandate, e le comunicazioni ufficiali viaggiano via raccomandata…). Facendo il classico 2+2, si potrebbe pensare che l’attacco alle PEC (riuscito) abbia portato al risultato desiderato (ottenere alcuni documenti specifici); l’attacco attualmente in corso potrebbe essere la conclusione dell’operazione, mirata (ad esempio) a sottrarre documenti in qualche modo correlati all’attacco precedente.

Fantasioso? Non troppo: essere a conoscenza di informazioni riservate circa un processo in corso, avendo i documenti di difesa, accusa e magistrato/giudice, può essere considerato un vantaggio non da poco, qualsiasi sia la parte che ne viene a conoscenza. Per questo motivo, terrei sotto osservazione qualsiasi processo o indagine di un certo interesse, perchè l’attacco che è stato portato a termine a Novembre del 2018 potrebbe essere determinante per stabilire (o deviare) l’esito di un’indagine che si concluderà nei prossimi mesi, se non anni.

Ecco, adesso forse la dimensione del problema comincia a divenire preoccupante.

Tornando all’aspetto tecnico, la cosa che rende più allarmante questo attacco è che, nella maggior parte dei casi, gli antivirus sono stati parzialmente elusi, cosa che ha lasciato il tempo di agire e di infettare in modo più o meno silente diverse macchine. Questo dettaglio non è stato sottolineato abbastanza dalla stampa generalista, che è quella che diffonde il grosso dell’informazione, ma è stato affrontato in modo molto chiaro da Yoroi (sempre loro, sempre qui), con un articolo molto chiaro in italiano. Chiaro se conoscete il significato delle parole ASCII, variabile, PowerShell, altrimenti potete anche non cliccare il link e fidarvi di quello che dicono.

Per finire, volevo aggiungere che più di due settimane fa avevo analizzato i file contenuti nell’allegato fattura.rar e l’antivirus (anzi, gli antivirus) non avevano rilevato nulla. Non dirò i nomi degli antivirus in questione (non voglio fare pubblicità a nessuno, negativa o positiva che sia) ma è sufficiente dire che uno è gratuito e l’altro no.
Ovviamente, non aspettando fatture, l’e-mail è finita dritta nel cestino senza passare dal via.

Perchè lo dico? Perchè il consiglio finale è quello d NON aprire mai un allegato proveniente da un mittente che non si conosce. E se lo conoscete? Stessa identica regola: non apritelo così, senza pensare: assicuratevi che sia un messaggio sensato. Se non vi aspettate una fattura, ma la ricevete lo stesso, probabilmente il messaggio è una trappola. E se aspettate una fattura proprio da quella persona… ecco… non apritelo lo stesso: fare prima una telefonata potrebbe fare la differenza.

 

Hai letto fin qui? Sul serio? Allora forse ti sono stato utile!


Pin It on Pinterest

Condividi!

Dillo in giro