Attacco Voldemort: cos’è e come difendersi dagli hacker che si fingono l’Agenzia delle Entrate
Arriva una mail, chiede di notificare documenti ufficiali, il mittente è l'Agenzia delle Entrate. O forse no. L'ultima campagna di phishing ha già attaccato 70 aziende in tutto il mondo, anche in Italia. Molto spesso le vittime sono compagnie assicuritave. Il malware, chiamato Voldemort è stato scoperto il 5 agosto dal Threat Research Team di Proofpoint, società di cybersecurity.
I ricercatori hanno spiegato che solo ad agosto gli hacker hanno inviato 20.000 messaggi di posta, fingendosi un‘agenzia fiscale nazionale, sono riusciti a infiltrasi nei sistemi delle vittime. L'obiettivo è raccogliere dati sensibili, questo, per il team di Proofpoint indica che i criminali non puntano a un ritorno finanzario, piuttosto, "hanno un interesse per lo spionaggio"
Durante la campagna gli hacker hanno impersonato le agenzie fiscali negli Stati Uniti (Internal Revenue Service), in Francia (Direzione Générale des Finances Publiques), nel Regno Unito (HM Revenue & Customs), in Germania (Bundeszentralamt per Steuern), in India (Dipartimento delle imposte sul reddito) e in Giappone (Agenzia nazionale delle imposte).
Hanno anche attaccato aziende italiane fingendo di essere l'Agenzia delle Entrate. Tutti i messaggi sono stati personalizzati e tradotti nella lingua del rispettivo Paese.
Come funziona il malware Voldemort
"La catena di attacco comprende più tecniche attualmente popolari nel panorama delle minacce, nonché metodi non comuni per il comando e il controllo (C2) come l'uso di Google Sheets", hanno spiegato i ricercatori di Proofprint. "La sua combinazione di tattiche, tecniche e procedure (TTP), la capacità di impersonareagenzie governative di vari paesi, e la denominazione di file sono notevoli."
I ricercatori non sono acora riusciri a scoprire chi c'è dieto al malware Voldemort, consigliano però di limitare l'accesso "ai servizi di condivisione di file esterni ai soli server noti e inseriti nell'elenco di sicurezza” e bloccare "le connessioni di rete a TryCloudflare se non è necessario per scopi aziendali”.