Falsi profili LinkedIn per attaccare con ransomware: Google lo scopre e li segnala

ULTIMO AGGIORNAMENTO 11:00

Sono fioccati all’improvviso una quantità elevatissima di profili, fasulli, sul noto social per il lavoro, LinkedIn, che attaccano i vostri device con un ransomware. Peccato che Google non sia così distratto: li ha trovati e segnalati.

Uno dei falsi profili LinkedIn- MeteoWeek.com

Exotic Lily: non è un cocktail ne tantomeno il nome inventato di una ragazza su Chat Roulette, ma si chiama così il gruppo IAB (Initial Access Broker) su cui Google ha pubblicato un rapporto che ha poi postato online, che ne evidenzia le modalità di azione nell’ultimo anno e il suo modus operandi. Lo scopo degli hacker è quello di ottenere accesso alle reti aziendali delle varie imprese (piccole o grandi che siano), e poi vendere successivamente all’asta l’accesso al miglior offerente tra i cybercriminali interessati, rendendo il tutto ancora più complicato.

Secondo la ricostruzione di Google la strategia usata da  Exotic Lily è più sofisticata di quella tipica dei gruppi ransomware che gli esperti hanno potuto studiare. Per rendere il tutto più credibile, infatti, i malintenzionati creano falsi profili social, ad esempio su LinkedIn che è un social di lavoro al 100 percento  (come nel caso rappresentato dall’immagine in alto), utilizzando dati facilmente reperibili su dipendenti reali in modo da creare duplicati che possano apparire autentici e non contraffatti. Questi profili sono associati ad account di posta ovviamente fasulli, e attraverso cui iniziare a stabilire un contatto con le vittime, creando un rapporto di fiducia fino ad incastrarle.

Cosa si nasconde dietro ai profili? – MeteoWeek.com

Quando è poi arrivato il momento di colpire, il gruppo utilizza servizi di condivisione file come OneDrive per fornire il playload necessario a creare i presupposti dell’attacco ransomware, nascondendone al contempo le origini. Per farvi un esempio pratico, Exotic Lily ha approfittato di una vulnerabilità zero-day interna all’MSHTML collegato a Windows per portare a termini i suoi attacchi tramite ransomware: si tratta comunque di una debolezza che Microsoft ha risolto con una correzione rilasciata alla fine del 2021, ma questo è il chiaro esempio di come funzionano questi falsi profili.

HACKER EUROPEI IN CONTATTO COL GRUPPO RUSSO

L’attività di Exotic Lily è particolarmente radicata come un’edera su un vecchio palazzo, e secondo le stime di Google prevede l’invio di oltre 5.000 e-mail al giorno a 650 organizzazioni in tutto il mondo. Mica pizza  fichi. Fino a novembre 2021 il gruppo sembrava infatti prendere di mira settori specifici come l’IT, la sicurezza informatica e l’assistenza sanitaria. Anche se da qualche tempo a questa parte, il target sembra essere diverso. Gli specialisti di Mountain View ritengono che Exotic Lily sia legato al famigerato gruppo ransomware russo Conti, che solo nel 2021 avrebbe estorto ben 200 milioni di dollari agli obiettivi colpiti. Ora però, non è più così in voga a causa di una talpa all’interno. Per quanto riguarda Exotic Lily, Google ha notato che i ritmi di “lavoro” vanno dalle 9 alle 17 con scarsa attività nel corso del fine settimana, come se seguissero un orario d’ufficio: una distribuzione oraria che suggerisce che gli hacker potrebbero operare in Europa centrale o orientale.