I ransomware come vettore per il Man in The Mail

La diffusione capillare di ransomware come Cryptolocker, CTB-Locker o Cryptowall 3.0 presenta un duplice rischio. Il più immediato è quello di ritrovarsi i documenti personali o aziendali criptati e dover pagare un riscatto in bitcoin per riaverli. Quello che spesso invece le vittime non realizzano è che rischiano di diventare, in seguito, vittime della truffa dei bonifici, nota anche come Man in The Mail o Business Email Compromise (BEC).

La rilevazione viene da uno studio di alcuni mesi fa proposto dall’FBI sul sito IC3, dove si tirano le somme sulla truffa dei bonifici fraudolenti illustrando le diverse tipologie di truffa identificate, stimando le perdite economiche delle aziende e offrendo alcuni suggerimenti su come proteggersi. L’FBI fa notare che nelle casistiche analizzate, parte delle vittime della truffa dei bonifici riporta di aver subito, qualche tempo prima, un’infezione da ransomware. La nostra esperienza è che i due fenomeni possano effettivamente essere legati: le vittime di un tipo di truffa hanno talvolta lamentato di essere cadute anche nell’altra.

Questa consequenzialità tra infezione ransomware e truffa Man in The Mail fa pensare che le organizzazioni che si celano dietro a trojan come Cryptolocker possano essere, in qualche modo, legate a quelle che operano le truffe di Business Email Compromise. Non dimentichiamo che all’interno dei Ransomware è possibile celare codice che acquisisca credenziali dell’utente utili per spiare la posta elettronica e intercettare le comunicazioni circa acquisti, vendite, bonifici, fatture da utilizzare per convincere le aziende a versare denaro su conti esteri spacciandoli per conti dei fornitori.

Consideriamo anche che alcuni ransomware si diffondono tramite phishing, attraverso il quale non è escluso che possano venir richieste alle vittime informazioni circa l’azienda (da sfruttare successivamente) o persino le credenziali di accesso alla posta elettronica. Dopo aver fatto scaricare alla vittima il ransomware e avergli infettato il PC, ottenendo magari l’agoniato riscatto, l’organizzazione criminale continua a spiare la posta elettronica o a seguire i movimenti online dell’azienda al fine di sferrare l’attacco della richiesta di bonifico fraudolenta.

Per questo motivo, suggeriamo a chi viene infettato da qualunque tipo di ransomware, di tentare di recuperare i dati in un modo o nell’altro ma di procedere anche con attenzione alla rimozione del virus, se possibile installando nuovamente l’intero Sistema Operativo. Esistono diverse guide che spiegano come rimuovere Cryptolocker e i suoi successori, l’importante è utilizzare antivirus e antimalware noti (attenzione che talvolta i malware si nascondono negli antimalware) e aggiornare le definizioni dei virus.

Poiché non è noto se il ransomware si è accontentato di criptare i documenti per chiedere il riscatto o ha fatto qualcosa in più, consigliamo vivamente di cambiare tutte le password dei propri account importanti, su di un altro PC “sicuro”, ovviamente. Nell’operare il cambio password, è importante non riutilizzarne nessuna di quelle vecchie anzi, utilizzare una password diversa per ogni servizio – eventualmente, per i più pigri, anche la stessa password MA con una parte che varia in base a dove viene utilizzata.