Un’indagine di Bitdefender ha preso in esame una campagna di ransomware che prende di mira le PMI utilizzando email contraffatte che simulano indagini dell’Interpol. La campagna infatti si basa su email che fingono di provenire dall’unità dell’Interpol specializzata nella lotta ai crimini informatici. La campagna coinvolge aziende con sede in Europa, Asia, Medio Oriente e Stati Uniti, appartenenti a diversi settori, tra cui quello legale, finanziario, farmaceutico e dei media.
Il modus operandi della campagna
Nei messaggi si informa che l’azienda del destinatario è oggetto di un’indagine invitandola a esaminare le presunte ‘prove’ allegate. In realtà, l’apertura del file allegato attiva un ransomware che crittografa i dati e invita la vittima a negoziare il pagamento del riscatto tramite la chat di Tox. Il malware sembra essere stato sviluppato appositamente per questa operazione e non presenta collegamenti noti con gruppi ransomware o iniziative di Ransomware-as-a-Service (RaaS).
Perché le PMI restano nel mirino dei criminali informatici
Le piccole imprese sono spesso bersagli più facili perché dispongono raramente di team IT dedicati, competenze specialistiche o budget adeguati alla sicurezza informatica. In questo contesto, la gestione della sicurezza ricade spesso su personale già impegnato in più ruoli, con procedure di verifica non sempre strutturate. I cybercriminali sfruttano questa vulnerabilità con email dal tono intimidatorio che simulano indagini o violazioni. Messaggi concepiti per indurre le vittime ad agire rapidamente senza controlli adeguati.
Non agire mai d’impulso è il primo consiglio
Uno dei principali segnali d’allarme di questa campagna riguarda il metodo di distribuzione. Sebbene i criminali informatici si spaccino per l’Interpol, le forze dell’ordine legittime non inviano email non richieste contenenti link a servizi come Proton Drive né file protetti da password. Tantomeno invitano a consultare presunte prove di attività illecite. In presenza di messaggi di questo tipo, è fondamentale evitare di agire d’impulso o di ‘indagare’ autonomamente. La verifica dell’autenticità deve sempre avvenire attraverso i canali ufficiali, prima di aprire allegati o scaricare qualsiasi file.






