Gli aggressori informatici usano l’imitazione della Royal Mail per diffondere Ransomware

Mercoledì, i ricercatori di Proofpoint hanno pubblicato un rapporto che svela una campagna di cyber-criminalità che impersona il corriere postale britannico, Royal Mail, per distribuire il ransomware Prince.

Questa variante di ransomware, apertamente disponibile su GitHub, include una dichiarazione di non responsabilità che afferma di essere destinata esclusivamente a scopi didattici. Tuttavia, è stata trasformata in un’arma in un attacco mirato che ha colpito organizzazioni sia nel Regno Unito che negli Stati Uniti.

L’attacco ransomware del Principe è iniziato con gli aggressori che si spacciavano per Royal Mail, utilizzando i moduli di contatto pubblici sui siti web delle organizzazioni bersaglio per inviare email fuorvianti. Queste email contenevano un PDF che collegava a un file ZIP ospitato su Dropbox, attirando le vittime a scaricarlo.

All’interno del file ZIP c’era un secondo ZIP protetto da password, insieme a un file di testo che rivelava la password, creando un falso senso di sicurezza per le vittime.

Una volta aperto, un file di collegamento eseguiva un codice JavaScript offuscato che creava diversi file nella directory temporanea del sistema. Questo codice utilizzava script PowerShell per eludere le misure di sicurezza e stabilire la persistenza, funzionando ogni 20 minuti mentre il computer era inattivo.

Quando veniva eseguito il ransomware, cifrava i file delle vittime con un’estensione “.womp” e mostrava una falsa schermata di aggiornamento di Windows per nascondere la sua attività malevola.

Un biglietto di riscatto sul desktop richiedeva il pagamento di 0,007 Bitcoin (circa $400) per la decrittografia. Tuttavia, l’analisi ha rivelato che il ransomware non aveva alcun meccanismo di decrittografia o capacità di esfiltrazione dei dati, suggerendo che fosse stato progettato per la distruzione piuttosto che per il profitto.

È fondamentale notare che in questa campagna non ci sono meccanismi di decrittografia o capacità di esfiltrazione dei dati, il che la rende più distruttiva rispetto al tipico ransomware. L’assenza di identificatori unici nel codice del ransomware suggerisce che, anche se le vittime pagano il riscatto, non vi è alcuna garanzia di recupero dei file.

Proofpoint non ha attribuito questa attività malevola a nessun attore di minacce specifico. La natura open-source del ransomware Prince permette a vari attori di modificarlo e distribuirlo liberamente. Il creatore, noto come SecDbg, offre apertamente modifiche per aggirare le misure di sicurezza, complicando ulteriormente gli sforzi di attribuzione.

Questo incidente sottolinea l’evoluzione del panorama delle minacce ransomware. Sebbene tali attacchi tipicamente non provengano direttamente dalle email, l’uso dei moduli di contatto come metodo di consegna riflette un trend più ampio.

Questo è particolarmente preoccupante poiché servizi postali come Royal Mail, UPS e FedEx vengono regolarmente impersonati da attori malevoli. I clienti ricevono spesso chiamate telefoniche, messaggi di testo ed email fraudolenti che sembrano essere comunicazioni ufficiali ma che in realtà sono truffe, come evidenziato da The Record.

Per contribuire a combattere questo problema, Royal Mail offre un utile elenco di truffe comuni che sfruttano il loro marchio.

Si incoraggiano le organizzazioni a formare i loro dipendenti per riconoscere le comunicazioni sospette e segnalare qualsiasi anomalia ai team di sicurezza interni. Man mano che le minacce informatiche diventano sempre più sofisticate, la vigilanza e l’educazione sono fondamentali per prevenire potenziali violazioni.