Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
Estorsione Lampo UNC3753: vishing e accesso remoto rubano dati legali e finanziari in 30 minuti
Tra gennaio e maggio 2026, decine di organizzazioni statunitensi nei servizi professionali, legali e finanziari sono state colpite da una campagna di estorsione basata sul furto di dati. Il gruppo responsabile, identificato come UNC3753, mira a ottenere accesso remoto agli ambienti aziendali usando vishing e tecniche di social engineering con un approccio rapido e altamente operativo.
Catena di attacco: email di pretesto e contatto vocale
La catena di attacco inizia spesso con email a tema fatture o migrazione dati inviate da account consumer controllati dagli attaccanti. Questi messaggi non contengono link o allegati malevoli e servono soprattutto a creare un pretesto credibile e ad aumentare la sensibilità interna, così da rendere i destinatari più propensi a rispondere a una successiva telefonata.
Nella fase di contatto vocale, gli attori si spacciano per supporto IT e guidano la vittima ad avviare una sessione di condivisione schermo tramite strumenti aziendali come Zoom, Microsoft Teams o Quick Assist.
Accesso remoto, persistenza ed esplorazione dell’ambiente
Una volta instaurata la sessione, l’obiettivo è far installare software legittimi di accesso remoto e gestione come AnyDesk, Bomgar, SuperOps RMM o Zoho Assist per ottenere persistenza e controllo. Le istruzioni possono essere inviate tramite un servizio di note temporanee che si autodistruggono dopo la lettura, riducendo le tracce.
Da qui il gruppo esplora directory locali e cloud, unità di rete mappate e cartelle sensibili, arrivando anche a sfruttare laptop personali per accedere a infrastrutture VDI e muoversi più in profondità nel file system aziendale.
Dati sottratti ed esfiltrazione
I dati sottratti includono accordi legali proprietari, informazioni personali (PII) e registri finanziari, oltre a documenti legati a audit, dichiarazioni fiscali, contratti con clienti e numeri di previdenza sociale. L’esfiltrazione avviene tramite strumenti come WinSCP o Rclone, oppure tramite invio a caselle email controllate dagli attaccanti usando la posta della vittima.
Estorsione e pressione sulla vittima
Subito dopo parte la fase di estorsione con una richiesta inviata spesso entro 30 minuti dall’uscita dall’ambiente compromesso e con una scadenza di tre giorni per avviare la negoziazione. La pressione aumenta con minacce di contattare dipendenti e clienti e di pubblicare i dati su un sito di data leak.
Escalation: intrusioni fisiche e infrastrutture fast flux
In alcuni casi è stata osservata anche una escalation con intrusioni fisiche: finti tecnici IT entrano negli uffici e tentano di copiare dati su hard disk esterni o chiavette USB. A supporto dell’operatività online, il gruppo utilizza anche infrastrutture DNS fast flux che rendono più difficile il blocco dei domini e la rimozione dei siti collegati alla fuga di dati.