Cisco Talos lancia l’allarme: dall’inizio della guerra in Ucraina, il suo team ha rilevato un aumento delle minacce informatiche che hanno preso di mira in maniera subdola gli aiuti umanitari e la raccolta fondi per i profughi.
Non si tratta solo di truffe, ha spiegato il team di threat intelligence di Cisco Talos, ma di vere e proprie minacce specifiche come malware.
Malgrado l’attività criminale sia iniziata alla fine di febbraio, Talos prevede purtroppo un aumento notevole del fenomeno durante le prossime settimane.
In uno dei vari esempi mostrati sul proprio blog da Cisco Talos, il mittente afferma di aver bisogno di assistenza per una donazione a un ente benefico e richiede che il destinatario lo contatti tramite WhatsApp.
In un altro esempio, il mittente scrive di essere stato sfollato e richiede che il destinatario invii dei Bitcoin.
Un messaggio da parte di un criminale informatico – sempre di quelli analizzati da Cisco Talos – afferma di far parte “di uno dei più grandi mercati di Bitcoin in Germania” e avvisa il destinatario che ci sarà a breve un aumento di “attacchi informatici guidati dallo Stato” contro la piattaforma.
Il messaggio prosegue e avvisa l’utente che il suo account è stato bloccato e lo invita ad accedere a una pagina web per sbloccarlo.
L’email contiene un link che sembra puntare al mercato Bitcoin, mentre in realtà apre una pagina web controllata dal criminale e impostata per rubare le informazioni sensibili delle vittime.
Cisco Talos ha rilevato anche una serie di malware che sfruttano l’interesse pubblico per il conflitto in Ucraina.
Ad esempio, in un messaggio con oggetto “Guerra in Ucraina” seguito da un numero d’ordine, il testo cerca di convincere il destinatario ad aprire il documento Excel in allegato per fermare un ordine di acquisto.
Quando viene aperto, il documento sfrutta una vecchia vulnerabilità di Microsoft Office e tenta di recuperare un malware da un server controllato dal criminale.
Un’altra email, invece, sembra provenire dal governo ucraino: chiede un aiuto economico per fornire assistenza ai rifugiati. Oltre a fornire un indirizzo del portafoglio Bitcoin a cui i destinatari possono inviare donazioni, l’email include anche un allegato Office che tenta di installare del codice dannoso.
È dunque evidente – avverte Cisco Talos – che i criminali informatici stanno sfruttando ampiamente l’opportunità generata dalla guerra in Ucraina per i loro meschini interessi.
Un’attività peraltro molto simile a quella a cui i team di cybersecurity hanno avuto modo di assistere durante la pandemia Covid-19.
Cisco Talos prevede un aumento di attacchi email scam e malware durante le prossime settimane e invita tutte le organizzazioni a prestare molta attenzione alle attività sospette e ad informare i dipendenti di questo rischio.