Attacchi mirati a non più di una decina di vittime per volta, esche particolarmente motivazionali come la minaccia di diffondere materiale compromettente o imbarazzante sulla potenziale vittima. È l’ennesima tattica di social engineering studiata per una campagna estorsiva che è durata un anno e che ha comportato l’invio di almeno 300mila email. A condurre le analisi sono stati i ricercatori della Columbia University, che hanno passato al setaccio le email segnalate dai sistemi di rilevamento di Barracuda basati su AI con l’intento di comprendere l’infrastruttura finanziaria utilizzata dagli attaccante.

Come accennato, gli attaccanti finanziariamente motivati attuavano l’estorsione millantando di essere in possesso di foto, video o dettagli di un’attività illecita da parte della vittima, che per tutelare la propria reputazione avrebbe dovuto corrispondere ai criminali cifre inferiori a 2.000 dollari in bitcoin.

Le campagne email con riscatto non sono un inedito, anzi sono un grande classico di cui si parla da tempo e di cui abbiamo più volte descritto caratteristiche e comportamenti da tenere. A costituire un elemento di interesse in questo caso non è la vecchia tattica degli attaccanti, quanto il lavoro dei ricercatori per comprendere lo schema di attacco e risalire ai cyber criminali.

Il team della Columbia University ha raggruppato le email in base agli indirizzi dei wallet comunicati alle vittime per il pagamento del riscatto. Ipotizzando che un truffatore utilizzasse lo stesso portafoglio digitale per diverse operazioni, i ricercatori hanno individuato 3.000 indirizzi di wallet per bitcoin unici, 100 dei quali apparivano nell’80% delle email. Si è pertanto ristretto il campo a un numero relativamente limitato di truffatori.

La stessa ipotesi iniziale è stata applicata al campo del mittente, ed è emerso che il 97% degli account mittenti aveva inviato meno di dieci email malevole ciascuno e che il 90% degli attacchi aveva richiesto pagamenti di cifre inferiori a 2.000 dollari in bitcoin. La conclusione è quindi che le truffe a scopo di estorsione vengano attuate da un numero relativamente ristretto di autori, ciascuno dei quali sferra attacchi su scala ridotta.

Le richieste estorsive contenute aumentano le probabilità che le vittime paghino, e il numero relativamente basso di email per ciascun mittente aiuta gli attaccanti a bypassare i controlli delle tecnologie di sicurezza tradizionali e di quelle anti-frode dei gestori di pagamenti. Inoltre, la stessa scelta consente di non attirare su di sé l’attenzione delle forze dell’ordine e dei media.

Dato che questo tipo di attacco rientra nel novero di quelli basati su social engineering, non è bloccabile con comuni filtri anti malware. Occorre investire in soluzioni di sicurezza dell’email basate su AI, che sono in grado di rilevare e bloccare tali messaggi prima che raggiungano il destinatario, nonché di impedire agli aggressori di prendere il controllo degli account e di utilizzare l’azienda come punto di partenza per altri attacchi.