Gli attacchi di phishing hanno nuovamente attirato l’attenzione degli esperti di sicurezza informatica. Questa volta è diventato attivo il gruppo Luna Moth, noto anche come Silent Ransom Group. Il suo obiettivo era ottenere l’accesso ai sistemi interni di organizzazioni legali e finanziarie negli Stati Uniti per poi estorcere denaro tramite la minaccia di fuga di dati. Una nuova ondata di attacchi è iniziata a marzo 2025 e dimostra un elevato livello di ingegneria sociale senza l’uso di malware.
Lo scenario di attacco si basa sull’imitazione del supporto tecnico. Le vittime ricevono e-mail in cui viene chiesto loro di contattare un presunto reparto IT aziendale. Dopo la chiamata, gli aggressori ti convincono a installare sul tuo computer un software legittimo per il controllo remoto, come AnyDesk, Atera, Syncro, Zoho Assist, Splashtop e altri. Questi programmi sono firmati digitalmente e non destano sospetti da parte degli strumenti di sicurezza. Una volta connessi, gli aggressori ottengono accesso diretto alla postazione di lavoro e possono esaminare il contenuto del sistema, delle unità di rete e di altri dispositivi nell’infrastruttura.
Secondo EclecticIQ, i domini simili agli indirizzi dei veri servizi di supporto vengono utilizzati a scopo di camuffamento. In totale sono stati registrati almeno 37 nomi di dominio di questo tipo tramite GoDaddy. Nella maggior parte dei casi utilizzano nomi falsi, utilizzando le parole chiave “helpdesk” o “supporto” riferendosi a un’azienda specifica, il che consente loro di ingannare con successo i dipendenti delle organizzazioni.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dopo aver ottenuto l’accesso ai dati, gli aggressori li caricano sui propri server utilizzando le utility WinSCP e Rclone, per poi inviare minacce alle vittime chiedendo il pagamento di un riscatto. Il rifiuto è seguito dalla promessa di pubblicare i dati rubati sulla pagina pubblica di Luna Moth. Secondo EclecticIQ, l’importo del riscatto varia da uno a otto milioni di dollari, a seconda della rilevanza e della portata delle informazioni rubate.
La particolare pericolosità di questi attacchi è evidenziata dall’assenza di allegati dannosi o link infetti. Tutte le interazioni avvengono all’interno di canali legittimi e il software viene installato dagli utenti stessi con il pretesto di ricevere assistenza. Questo schema complica seriamente il rilevamento degli incidenti e richiede una revisione delle politiche di sicurezza all’interno delle aziende. Le misure consigliate includono il blocco degli strumenti RMM inutilizzati e l’inserimento nella blacklist dei domini di phishing noti.
Inoltre l’installazione di software sulle PDL da parte degli utenti dovrebbe essere disabilitata by design.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyberpolitica
Cultura
Vulnerabilità
Cultura
Cybercrime