C’è un nuovo cattivo in rete, da cui faremmo bene a stare tutti alla larga. Stiamo parlando di Voldemort, il malware che alcuni cybercriminali stanno utilizzando per sottrarre dati sensibili alle loro vittime. A rivelarlo è il Threat Research Team di Proofpoint, società di cybersecurity, che, a partire dallo scorso 5 agosto, ha identificato una nuova campagna malevola che ha colpito oltre 70 aziende in tutto il mondo, tra cui moltissime compagnie assicurative.
Come agiscono
Secondo quanto riportato dai ricercatori, nel corso di questo mese i cybercriminali hanno inviato alle loro vittime circa 20.000 messaggi di posta, spacciandosi per le autorità fiscali di Europa, Asia e Stati Uniti – in Italia, per esempio, si sono finti per l’Agenzia delle Entrate – e con la scusa di dover di dover notificare dei documenti ufficiali, si sono infiltrati all’interno dei sistemi delle vittime.
Infatti, le email non erano altro che un’esca per diffondere il malware Voldemort, dotato di straordinarie capacità nella raccolta dei dati. Andando più affondo sulla la strategia che è stata utilizzata dai criminali, i ricercatori di Proofpoint sono arrivati alla conclusione che i criminali informatici in questione hanno “un interesse maggiore per lo spionaggio, ma non per un ritorno finanziario”. Perché l’obiettivo è solo quello di entrare in possesso del maggior numero di dati sensibili, il che fa pensare che dietro questa campagna si possa nascondere un attore ben più minaccioso di quanto appare – ossia un’entità criminale che riesce a stabilire una presenza illecita, e duratura nel tempo, all’interno di una rete aziendale -.
Nonostante siano in possesso di numerosi dettagli sulla campagna in questione, i ricercatori di Proofpoint non sono riusciti ancora a identificare con precisione chi ci sia dietro Voldemort. Quello che sono riusciti a fare, invece, è fornire una serie di consigli utili alle aziende, per evitare di cadere vittime di questo virus. Tra questi ci sono la “limitazione dell’accesso ai servizi di condivisione di file esterni ai soli server noti e inseriti nell’elenco di sicurezza” e “il blocco delle connessioni di rete a TryCloudflare se non è necessario per scopi aziendali”.