Esperti avvertono sull'inganno da parte di falsi tecnici IT e su come questa organizzazione di hacker saccheggia le aziende

Una rete di hacker con metodi sofisticati

I metodi delle bande criminali stanno diventando sempre più complessi. Google e Fbi avvertono ora della Silent Ransom Group, un’organizzazione in grado di infiltrare gli uffici aziendali, accedere ai sistemi informatici e rubare dati sensibili.

Accesso fisico e digitale alle aziende

Secondo un nuovo report congiunto di Mandiant e del Gruppo Intelligence Google, la banda ha trovato diversi modi per violare i sistemi aziendali, sfruttando manipolazioni, minacce e talvolta addirittura l’inserimento di finte figure tecnico-informatiche. Charles Carmakal, Chief Technology Officer di Mandiant, ha spiegato a Techcrunch che i suoi team hanno osservato in passato questi trucchi in diversi episodi.

Preparati ad accogliere un finto tecnico IT

L’organizzazione Silent Ransom ha utilizzato in alcuni casi le proprie truppe per infiltrarsi direttamente negli uffici vittima. Una volta dentro, i membri si connettevano ai PC dei dipendenti e rubavano informazioni utilizzando penne USB o strumenti di accesso da remoto, come contratti, numeri di previdenza sociale, dati finanziari e fiscali. Secondo un portavoce del Fbi, sono stati osservati diversi casi in cui individui si sono spacciati per tecnici IT, guadagnando accesso fisico agli uffici e ai dispositivi delle imprese.

Estratto dati a minacce e phishing

Gli hacker avvertono spesso le aziende con minacce di pubblicare online i dati rubati a meno che una cifra ritenuta riscatto non venga consegnata. Inizialmente vengono utilizzate email di pressione. Google ha citato comunicazioni intercettate in cui gli hacker avrebbero scritto: “Se non sarai informata o non acconsentirai, informeremo i tuoi collaboratori, partner e clienti e pubblicheremo i dati.”

Trucchi di phishing e chiamate telefoniche

Oltre a minacce e accessi diretti, la Silent Ransom Group utilizza classici metodi come email di phishing e telefonate. Nella maggior parte dei casi, si fingono membri del servizio IT, cercando di attirare le aziende a permettere un accesso ai loro computer. Google ha riferito che i chiamanti sfruttano varie opzioni verbali per guidare le persone bersaglio, sostenendo di risolvere problemi di sicurezza o aiutare la migrazione dei dati, costringendo le vittime a condividere il proprio schermo.

Le aziende devono proteggersi

Il tutto si conclude con l'inganno in cui i pirati informatici riescono a superare i controlli di sicurezza, istigando i bersagli a installare programmi di accesso da remoto oppure a utilizzare funzioni all’interno di applicazioni come Zoom o Microsoft Teams. Le aziende sono dunque esposte a rischi crescenti e sono fortemente avvisate di verificare l’autenticità di qualsiasi persona o entità IT con accesso fisico o digitale.

Combinate diverse strategie

L’utilizzo combinato di accesso fisico e digitale da parte di questi criminali mostra come le frodi tecnologiche si siano diversificate. Negli ultimi mesi si era parlato della minaccia del Fbi, del M5, e agenzie governative di Australia, Canada e Nuova Zelanda, i quali segnalavano spionaggio tramite piattaforme di lavoro come LinkedIn, sfruttando deepfake e siti falsi per generare identità finte e infiltrare aziende.

Solo un esempio di quanto sofisticate siano le metodologie

L’allarme sul gruppo Silent Ransom evidenzia come alcuni crimini cyber non si limitino più a attacchi virtuali. In pratica, i criminali integrano attacchi informatici e accessi fisici, rendendo molto più difficile riconoscerli e prevenire i danni.

Il rischio per la tutela dei dati sensibili

Le aziende, soprattutto quelle che trattano informazioni private o finanziarie, sono obiettivi ideali per queste bande. Il caso esposto mostra come l’accesso di un “tecnico falso” possa compromettere sistemi di sicurezza, causando perdita di dati e costi di riparazione considerevoli. Nonostante le avvertenze, molti non si preparano a questi scenari.

Come agire per proteggersi davvero

Per mitigare i rischi, le aziende dovrebbero:

• Verificare sempre l’identità di ogni persona con accesso ai sistemi interni;
• Addestrare i dipendenti in difesa contro phishing e attacchi di social engineering;
• Instaurare procedure rigorose per la gestione di accessi fisici;
• Evitare di installare app di accesso remoto a richiesta, anche quando arriva da un “tecnico credibile”;
• Impostare sistemi di controllo per ogni condivisione dello schermo con esterni;
• Adottare un piano di risposta rapido in caso di attacco informatico;
• Collaborare con esperti di sicurezza IT e forze dell’ordine per monitorare minacce simili.

Un’emergenza crescente per tutte le imprese

I dati raccolti da Google e Mandiant dimostrano che questi tipi di attacco non sono occasionali, ma organizzati e persistenti. È quindi fondamentale per le aziende aumentare la loro consapevolezza e i loro livelli di sicurezza, perché i rischi aumenteranno ulteriormente con l’uso maggiore di software di videosorveglianza e di accesso a distanza.

Collaborazione pubblico-privata chiave

Una soluzione efficace per ridurre al minimo i danni e bloccare tali gruppi criminali potrebbe derivare solo da un lavoro congiunto fra enti governativi, forze dell’ordine, esperti informatici e aziende private. Solo con un approccio globale si può sperare di prevenire e controllare tali minacce.