Finti tecnici IT in ufficio: come agisce il gruppo SRG e come difendersi

Finti tecnici IT in ufficio: come agisce il gruppo SRG e come difendersi

Finti tecnici IT in ufficio: come agisce il gruppo SRG e come difendersi

Se qualcuno si presenta come supporto IT e chiede accesso ai tuoi dispositivi, fermati subito. La regola più importante è semplice: verifica l’identità, non concedere accesso immediato e segnala l’episodio al team di sicurezza. Questa cautela è particolarmente importante perché il gruppo noto come Silent Ransom Group sta usando tecniche di social engineering molto aggressive, incluse chiamate, email fraudolente e perfino visite fisiche negli uffici.

Il caso è rilevante perché mostra un salto di qualità rispetto alle campagne tradizionali di phishing: non si tratta solo di messaggi ingannevoli, ma di persone che cercano di convincere il personale a collaborare con loro in tempo reale. Per aziende, studi legali e uffici con dati sensibili, questo significa che la sicurezza non dipende solo dai filtri email, ma anche da procedure interne chiare e da una cultura della verifica.

Un attacco che unisce inganno digitale e presenza fisica

Il gruppo Silent Ransom Group, conosciuto anche con i nomi Luna Moth, Chatty Spider e UNC3753, è attivo almeno dal 2022 e ha preso di mira organizzazioni in vari settori, tra cui assicurazioni, finanza e sanità. Tuttavia, gli studi legali restano il bersaglio principale.

La strategia osservata combina più fasi. Prima arrivano le email di phishing, spesso costruite per sembrare comunicazioni interne o messaggi legati all’assistenza tecnica. In parallelo possono partire telefonate che fingono di provenire dall’IT aziendale. L’obiettivo è convincere il dipendente a contattare un numero falso oppure ad aprire una sessione di desktop remoto, concedendo così accesso ai sistemi.

Se questo non basta, gli aggressori possono alzare il livello della pressione e mandare una persona direttamente negli uffici della vittima. In quel caso, l’individuo si presenta come tecnico IT e afferma di dover creare un backup o un’immagine del sistema a causa di un presunto problema collegato alla mail di phishing. Durante questa fase cerca di inserire un dispositivo di archiviazione nel computer della vittima, ottenendo così accesso ai dati.

Perché questa tattica è così efficace

La forza di questo approccio sta nel fatto che molte persone tendono a fidarsi di chi sembra appartenere al supporto tecnico interno, soprattutto quando il messaggio appare urgente o quando arriva da qualcuno che usa un linguaggio professionale. Inoltre, una visita di persona può superare la diffidenza iniziale perché introduce una forma di pressione sociale più forte rispetto a una semplice email.

Il gruppo sfrutta proprio questa combinazione: urgenza, autorità apparente e confusione operativa. In un ambiente aziendale dove i reparti lavorano rapidamente e i ticket di supporto sono frequenti, un falso tecnico può sembrare credibile abbastanza da ottenere accesso a una postazione o a un account.

Una volta compromesso il dispositivo, il gruppo sottrae informazioni e le usa per chiedere un riscatto. Le vittime ricevono email di estorsione con la minaccia di pubblicare o vendere i dati su un sito di leak. In alcuni casi, gli aggressori contattano anche dipendenti o clienti dell’organizzazione colpita per aumentare la pressione e spingere verso una trattativa.

Cosa rende difficile rilevare l’intrusione

Le campagne recenti attribuite a SRG lasciano pochi segni evidenti sulle macchine compromesse. Questo riduce l’efficacia degli strumenti antivirus tradizionali, soprattutto quando gli aggressori usano strumenti legittimi di amministrazione o accesso remoto invece di malware rumoroso.

Per un team IT, questo significa che il segnale dell’attacco potrebbe non essere un file sospetto, ma un comportamento anomalo: una richiesta di accesso non prevista, una sessione remota avviata fuori procedura, una chiamata di supporto non registrata o un intervento fisico non autorizzato.

La difficoltà aumenta perché gli attaccanti possono combinare più canali. Una mail apparentemente innocua può preparare il terreno per una telefonata; la telefonata può aprire la strada a una richiesta di accesso remoto; se tutto fallisce, può arrivare la visita in ufficio. È una sequenza pensata per aggirare il controllo tecnico puntando invece sul comportamento umano.

Come proteggere l’azienda in modo pratico

La prima difesa è la verifica. Nessuno che dichiari di appartenere all’IT dovrebbe ottenere accesso remoto o fisico senza controlli formali. In pratica, ogni richiesta va confermata tramite un canale interno già noto, non tramite il numero o l’email forniti dal presunto tecnico.

È altrettanto importante formare il personale a riconoscere il callback phishing e le altre forme di social engineering. I dipendenti devono sapere che una richiesta urgente non è automaticamente legittima, soprattutto se chiede di installare software, avviare sessioni remote o inserire dispositivi esterni nel computer.

Le organizzazioni dovrebbero inoltre usare l’autenticazione multifattore, limitare gli strumenti di accesso remoto non autorizzati e rivedere le procedure dell’help desk per il reset delle password e la gestione delle richieste di accesso. Questi controlli riducono la probabilità che un singolo errore umano si trasformi in una compromissione estesa.

Anche il controllo fisico conta. Reception, security desk e personale amministrativo devono avere istruzioni precise su come verificare chi entra negli uffici, soprattutto se una persona dichiara di dover effettuare manutenzione tecnica. Se necessario, il supporto IT deve essere sempre accompagnato da una conferma interna e da una registrazione dell’intervento.

Segnali di allarme da non ignorare

  • Richieste urgenti di aprire una sessione remota senza ticket ufficiale.
  • Email che invitano a chiamare un numero di supporto non riconosciuto.
  • Presunti tecnici che chiedono accesso diretto alla postazione.
  • Indicazioni a inserire chiavette, dischi o altri dispositivi non previsti.
  • Pressioni per aggirare procedure standard di verifica.

Cosa fare se sospetti un contatto SRG

  • Interrompi la conversazione e non concedere accesso.
  • Verifica il nome della persona attraverso i canali interni ufficiali.
  • Segnala subito l’evento al team IT o sicurezza.
  • Conserva email, numeri di telefono e orari del contatto.
  • Se è stata avviata una sessione remota, disconnettila immediatamente.
  • Se qualcuno si trova fisicamente in ufficio senza autorizzazione, attiva le procedure di sicurezza interne.

Technical Deep Dive

Il pattern operativo attribuito a SRG mostra una forte dipendenza da callback phishing, impersonificazione dell’IT e uso di legitimate remote access tools. Questo rende l’attacco più simile a un abuso dei processi aziendali che a una campagna malware classica. Dal punto di vista difensivo, i log da monitorare non sono solo quelli dell’antivirus, ma anche quelli di identity management, help desk, VPN, RDP, tool di remote administration e badge access.

Per i team tecnici, vale la pena definire controlli specifici su tre livelli. Primo: identity verification, cioè conferma fuori banda di ogni richiesta sensibile; secondo: session governance, con approvazione esplicita e tracciata per qualunque accesso remoto; terzo: physical access governance, con autorizzazioni nominate per gli interventi in sede. Se un operatore chiede di creare un’immagine disco o un backup urgente, la richiesta deve essere ricondotta a un ticket verificabile, con riferimento a un change o incident record.

Sul fronte detection, gli indicatori più utili possono essere comportamentali: accessi fuori orario, avvii improvvisi di sessioni RDP o VNC, uso di strumenti di amministrazione non standard, deviazioni dal normale flusso help desk, e contatti telefonici ripetuti verso gli stessi dipendenti dopo l’invio di email sospette. Un’altra area critica è l’uso di dispositivi USB: in contesti ad alto rischio, il controllo delle porte e la registrazione degli inserti possono ridurre l’efficacia delle visite fisiche malevole.

Dal lato della resilienza, i dati più sensibili dovrebbero essere protetti con segmentazione, privilegi minimi e backup testati regolarmente. Poiché la finalità finale dell’operazione è l’estorsione, la capacità di recuperare i sistemi e di isolare rapidamente i dati esposti riduce il potere di pressione degli aggressori. In organizzazioni legali, dove la riservatezza dei dati è centrale, conviene anche prevedere playbook specifici per incidenti che coinvolgono clienti, pratiche riservate e informazioni soggette a obblighi di notifica.

Infine, la formazione anti-social engineering deve includere scenari realistici: chiamate del finto IT, visite in reception, richieste di reset password e pressioni per autorizzare strumenti remoti. Simulazioni periodiche aiutano a trasformare la verifica in un’abitudine operativa, riducendo la probabilità che un attacco convinca il personale a saltare i controlli.

Fonte: https://www.helpnetsecurity.com/2026/05/27/fbi-silent-ransom-group-law-firms-social-engineering/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto