Spear Phishing e ransomware, accoppiata temibile per i dirigenti d'azienda

Lo spear phishing, la pratica di inviare email personalizzate allo scopo di ingannare una persona specifica e indurla a svelare credenziali di accesso o a cliccare su link dannosi, è stata limitata negli anni passati a campagne di spionaggio portate avanti da gruppi di hacker o singoli con il supporto di qualche governo.

Del resto il dispiego di risorse messe in campo per ricercare nomi, indirizzi e quant'altra informazione utile per un gran numero di individui, viene ripagato nel momento in cui si prende di mira una specifica organizzazione che conserva qualche progetto particolare o qualche precisa informazione di particolare valore per l'attaccante.

Da qualche mese, tuttavia, gli analisti della sicurezza informatica di Proofpoint stanno osservando una tendenza piuttosto particolare, ovvero l'uso delle tecniche di spear phishing allo scopo di installare svariati malware sul computer personale di dirigenti e impiegati di alto profilo. Il "threat actor" identificato da Proofpoint prende il nome di TA530 e ha l'obiettivo di installare ransomware come il famigerato CryptoWall o i trojan bancari Ursnif ISFB e Ursniv/RecoLoad che prende di mira le aziende del settore retail e dell'hospitality. Le persone prese di mira con questa tecnica ricoprono ruoli di CFO, Head of Finance, Senior Vice President e Director.

I ricercatori osservano che molto spesso le informazioni di personalizzazione usate da TA530 sono corrette e probabilmente tratte da siti pubblici come LinkedIn o il sito web della società per la quale lavora la vittima. TA530 sembra per ora prendere di mira svariati destinatari di società degli Stati Uniti, del Regno Unito e in Australia.

Bersagliare executive di alto rango è una strategia che permette ai criminali di avere una maggior probabilità di successo con i loro attacchi. Le persone che occupano queste posizioni professionali hanno infatti più facilmente accesso ai conti online della società o ai sistemi finanziari, rendendole vittime ideali per i trojan bancari. Inoltre le informazioni che esse conservano sui loro computer sono spesso fondamentali per l'operatività della compagnia, rendendole quindi più inclini a pagare un riscatto se i dati vengono cifrati con un ransomware.