La recente allerta dell’FBI rivolta agli studi legali statunitensi ha acceso i riflettori sulla sofisticata campagna di phishing orchestrata dal gruppo criminale Luna Moth, noto anche come Silent Ransom Group. Questa minaccia informatica si distingue per l’uso di tecniche di ingegneria sociale e phishing tramite callback, con l’obiettivo di ottenere l’accesso remoto a sistemi aziendali e sottrarre dati sensibili, poi utilizzati per estorsioni.

Modus operandi del gruppo Luna Moth

Il modus operandi di Luna Moth si basa su email di phishing che sembrano comunicazioni legittime relative a fatture o abbonamenti, le quali invitano le vittime a telefonare a un numero di assistenza clienti per evitare addebiti. Nel corso della chiamata, i criminali guidano l’utente all’installazione di software di accesso remoto, come Zoho Assist, Syncro, AnyDesk, Splashtop o Atera. Questi strumenti, essendo legittimi, riescono spesso a bypassare i tradizionali sistemi di sicurezza senza destare sospetti. Una volta ottenuto l’accesso, gli attaccanti utilizzano programmi come Rclone o WinSCP per esfiltrare dati aziendali.

Evoluzione delle tattiche e tecniche utilizzate

Dall’inizio del 2025, la tattica si è ulteriormente evoluta: Luna Moth ora contatta direttamente i dipendenti, fingendosi personale IT dell’azienda e invitandoli a sessioni di assistenza remota. Gli attori, dopo aver ottenuto il controllo del dispositivo, possono aumentare i privilegi e muoversi lateralmente nell’infrastruttura aziendale, massimizzando il danno e la quantità di dati esfiltrati. In seguito, le vittime ricevono messaggi di estorsione con la minaccia di pubblicare o vendere i dati rubati se non viene pagato un riscatto.

Domini falsificati e tecniche di ingegneria sociale

Un elemento distintivo della campagna di Luna Moth è la registrazione di numerosi domini simili a quelli delle aziende bersaglio, spesso con nomi che richiamano helpdesk o supporto IT, per rendere ancora più credibili le comunicazioni inviate. Le email e i messaggi telefonici sono progettati per indurre un senso di urgenza e fiducia, spingendo la vittima ad agire rapidamente e senza sospetti.

Consigli di prevenzione e mitigazione

Per proteggersi da queste minacce è fondamentale prestare attenzione a chiamate o email non richieste che richiedono l’installazione di software di accesso remoto o la comunicazione di dati sensibili. È importante verificare sempre l’identità di chi richiede accesso ai sistemi e monitorare eventuali connessioni sospette in uscita, in particolare verso IP esterni tramite strumenti come WinSCP o Rclone.