>
▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

: Lascia il tuo voto agli Italian Security Awards 2026

Finte indagini via email portano ransomware nelle PMI

Una campagna di phishing impersona le Forze dell'Ordine e spinge le piccole imprese a scaricare un archivio protetto da un servizio cloud al cui interno si nasconde ransomware.

Finte indagini via email portano ransomware nelle PMI
Tecnologie/Scenari

I ricercatori del Bitdefender Antispam Lab hanno individuato una campagna di phishing che colpisce le piccole imprese con false email di indagine attribuite a Interpol. Le vittime si distribuiscono fra Europa, Asia, Medio Oriente e Stati Uniti; i settori interessati vanno da alimentare e agricoltura a servizi legali, farmaceutico, media, tecnologia e finanza.

L'attacco si basa sull'ingegneria sociale: le potenziali vittime ricevono un messaggio con toni allarmistici, millantando la provenienza dall'unità cybercrime di Interpol, impegnata in una verifica di conformità o sicurezza. Ai destinatari viene detto che gli investigatori avrebbero raccolto informazioni e materiale video relativi alla loro organizzazione, con l'invito a esaminare al più presto le prove. La costruzione psicologica del testo mira a generare ansia, perché nessun titolare vuole ricevere una comunicazione che ipotizza il coinvolgimento della propria azienda in attività fraudolente o sotto inchiesta.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Per accedere alle presunte prove, la vittima viene indirizzata verso un link Proton Drive che ospita un archivio protetto da password, con la password inclusa direttamente nel corpo dell'email. La scelta del canale è singolare perché esce dall’impianto solito di un allegato email, per spostarsi su un servizio cloud legittimo fruito via browser, così da aggirare i controlli antispam sugli allegati e conferire al contempo all'operazione un'apparenza di credibilità.

Una volta aperto, l'archivio sembra contenere quanto promesso, ma in realtà nasconde un eseguibile malware celato da file video, nella speranza che il destinatario non noti la differenza prima di avviarlo. Basterebbe avere attiva la visualizzazione dei dettagli per rendersi conto che l’estensione del file è sbagliata, ma spesso non accade. Quando avviato, il malware cerca di cifrare i file su tutte le unità disponibili e mostra alla vittima un messaggio di riscatto. Il testo avverte che il computer risulta compromesso e che il recupero dei file cifrati richiede la chiave di decifratura e fornisce un contatto tramite la chat Tox per la contrattazione.

Interessante è il fatto che il messaggio non specifica alcun importo, perché la logica prevede una trattativa avviata dopo il primo contatto, con un riscatto calibrato sulla dimensione dell'organizzazione, sul valore percepito dei dati e sulla capacità di pagare della vittima.

Sotto l’aspetto tecnico, il codice del malware è relativamente semplice: non risultano funzionalità tipiche delle grandi operazioni ransomware e la qualità tecnica del payload è lontana da quella degli strumenti impiegati dai gruppi strutturati. Questo approccio rientra in una tendenza ben precisa e conosciuta: i cyber criminali non hanno più bisogno delle risorse o delle competenze dei grandi e potenti gruppi per lanciare attacchi capaci di causare danni. Anche un malware relativamente semplice costituisce una minaccia seria quando si accompagna a un'ingegneria sociale convincente. Soprattutto nel caso in cui le vittime sono piccole imprese, che operano senza team IT o personale dedicato alla sicurezza, che hanno budget limitati e non dispongono di programmi di awareness.

Come reagire

Chi ha scaricato e aperto un file simile a quello usato nella campagna dovrebbe agire con rapidità. Il primo passo consiste nel disconnettere il dispositivo dalla rete, così da impedire al malware la comunicazione con i server controllati dagli aggressori e la propagazione verso unità condivise e altri dispositivi. Segue una scansione completa con una soluzione di sicurezza affidabile, tenendo presente che alcune minacce restano nascoste fino al completamento del proprio compito. La segnalazione all'amministratore IT o al managed service provider accelera l'isolamento dei sistemi colpiti, mentre l'informazione tempestiva del team riduce il rischio di ulteriori vittime interne.

Il cambio delle password più importanti da un dispositivo pulito diventa necessario ogni volta che esiste la possibilità di una sottrazione di credenziali, a partire da email aziendale, cloud storage, conti finanziari e piattaforme di collaborazione, con l'attivazione dell'autenticazione a più fattori ovunque disponibile. Il monitoraggio dei segnali sospetti completa la risposta, con attenzione ad avvisi di accesso imprevisti, email di reset, transazioni sconosciute o file diventati improvvisamente inaccessibili nei giorni successivi. La segnalazione dell'email di phishing tramite le funzioni del provider di posta e l'avviso all'agenzia nazionale di cybersecurity, in caso di infezione confermata, aiutano le autorità a mettere in guardia altre organizzazioni.

Sul fronte della prevenzione, la verifica di ogni comunicazione non sollecitata resta la prima linea di difesa. Una email che dichiara di provenire da Forze dell'Ordine, autorità di regolamentazione o altri enti va confermata attraverso i canali ufficiali, senza affidarsi ai recapiti indicati nel messaggio. I ricercatori sottolineano inoltre che le Forze dell'Ordine non inviano email non richieste con link Proton Drive a file protetti da password e non chiedono alle organizzazioni di esaminare presunte prove di illeciti.

Tag correlati

Esplora altri articoli su questi argomenti

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

>
www.securityopenlab.it - 8.5.0 - 4.6.4