Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un'immagine in stile cyberpunk immersa in una vibrante luce neon rosa e magenta. Cinque hacker incappucciati e con il volto coperto da maschere scure sono seduti a una scrivania, concentrati sui propri laptop. Sullo sfondo si notano molteplici schermi di computer carichi di linee di codice; il monitor principale mostra in grande la scritta "SYSTEM BREACHED". Un grande teschio luminoso al neon domina la parete posteriore. Adesivi di teschi e simboli ribelli decorano i computer in primo piano, insieme a una tazza nera marchiata anch'essa con un teschio, amplificando l'atmosfera da attacco informatico clandestino.

Basta una telefonata: il ransomware Pink entra nelle aziende senza violare nessun sistema

13 Giugno 2026 06:27
In sintesi

Il gruppo ransomware Pink sta colpendo le aziende utilizzando tecniche di phishing vocale per ottenere credenziali aziendali e aggirare l'autenticazione multifattore. Fingendosi personale IT interno, gli attaccanti convincono le vittime a inserire le password su pagine false, accedendo rapidamente a SharePoint, OneDrive e altri sistemi aziendali. Secondo Unit 42 e Google Threat Intelligence, Pink potrebbe essere l'evoluzione di precedenti gruppi ransomware e rappresenta una minaccia crescente basata sull'ingegneria sociale anziché su sofisticati exploit tecnici.

I criminali informatici stanno sempre più spesso aggiornando le loro capacità di hacking sfruttando attacchi attraverso una semplice telefonata. Convincono le vittime di parlare con un dipendente IT interno di una azienda e poi le persuadono a inserire le proprie credenziali su una pagina falsa da loro controllata.

Gli specialisti dell’Unità 42 hanno segnalato il gruppo ransomware Pink, identificato come cluster CL-CRI-1147. Secondo i loro dati, gli aggressori utilizzano il phishing vocale per ottenere l’accesso iniziale ai sistemi aziendali, dopodiché rubano rapidamente i dati e passano al ricatto.

Google Threat Intelligence invece ritiene che Pink potrebbe non essere un nuovo gruppo, ma piuttosto un rebranding di un team esistente. Secondo l’azienda, dopo la chiusura del marchio BlackFile nel maggio 2026, gli hacker hanno lanciato Redact e potrebbero in seguito essere riemersi con il nome Pink.

Advertising

Google collega questa attività al codice UNC6671. Gli analisti evidenziano un’infrastruttura simile per il furto di credenziali, un sito di fuga di dati analogo e messaggi ripetuti in cui i criminali affermano di aiutare le vittime a “migliorare la propria sicurezza” dopo aver ricevuto un pagamento.

Secondo quanto riportato sul sito stesso, il sito Pink Leak è stato lanciato il 31 maggio 2026. Nel giro di pochi giorni, sono già emerse le prime segnalazioni di presunte vittime, sebbene il gruppo affermi di non avere legami con precedenti organizzazioni criminali.

L’Unità 42 collega Pink alla comunità criminale Com, un gruppo di criminali dai contorni poco definiti i cui membri utilizzano tecniche di ingegneria sociale , furto di account ed estorsione. Le tattiche della nuova attività sono simili a quelle di Bling Libra, noto anche come ShinyHunters , e del cluster CL-CRI-1116, associato a Blackfile e Redact.

L’attacco inizia con una telefonata alla vittima. L’aggressore si finge un dipendente IT interno e convince l’utente a inserire le proprie credenziali su un sito web di phishing. I criminali ottengono quindi l’accesso all’account aziendale e aggirano l’autenticazione a più fattori.

Una volta ottenuto l’accesso, Pink cerca ed estrae rapidamente dati dai sistemi aziendali. Tra queste piattaforme figurano SharePoint e OneDrive. Gli aggressori utilizzano quindi l’account compromesso per injettare ransomware e messaggi nelle chat interne di Microsoft Teams.

Advertising

In un caso investigato dall’Unità 42, le trattative di estorsione avviate in precedenza sono rimaste a lungo senza risposta. Il 1° giugno 2026, l’aggressore ha ricontattato la vittima da un account di posta elettronica gratuito, fornendo un nuovo ID qTox e un link al sito Pink Leak. Alla vittima sono state concesse 72 ore per rispondere, un periodo spesso utilizzato dagli estorsori per aumentare la pressione e costringere l’azienda a negoziare più rapidamente.

Pink riutilizza i domini di secondo livello per attacchi contro diverse organizzazioni e solitamente seleziona domini di terzo livello per un obiettivo specifico. Secondo Unit 42, queste risorse di phishing erano ospitate tramite DDoS-Guard.

I domini di phishing identificati includono passkeyadd[.]com, passkeydeploy[.]com e deploypasskey[.]com. I responsabili della sicurezza delle reti aziendali devono essere particolarmente vigili quando i dipendenti vengono contattati dal personale di supporto. Devono verificare sia le chiamate provenienti dalle persone che affermano di essere dipendenti senza accesso all’account, sia quelle provenienti da presunti membri del personale IT che richiedono un aggiornamento urgente dell’autenticazione a più fattori o la conferma dell’accesso a un sistema aziendale.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response