Doppio colpo di Incransom: la gang ransomware prende di mira il governo della Contea di Morgan e un’azienda di telecomunicazioni australiana

Dentro gli attacchi: anatomia di una doppia violazione

I gruppi ransomware raramente colpiscono su lati opposti del globo nello stesso giorno, ma l’audacia di Incransom sta riscrivendo il manuale del cybercrimine. Le vittime del sindacato questa volta: la Contea di Morgan, in Georgia - un fulcro per il governo locale, la risposta alle emergenze e i servizi pubblici - e Mastercom, un’azienda che sostiene comunicazioni critiche per i consigli comunali australiani e per gli operatori dell’emergenza.

Entrambe le organizzazioni operano con personale contenuto ma con responsabilità enormi. L’infrastruttura digitale della Contea di Morgan supporta tutto, dalla sicurezza pubblica agli eventi della comunità. Mastercom connette i soccorritori in vaste città australiane. La violazione di una delle due non è solo un guasto tecnico: è una minaccia alla fiducia e alla sicurezza pubblica.

Dettagli tecnici ricavati dai record DNS indicano che entrambe le organizzazioni si affidano a Outlook di Microsoft per la sicurezza della posta elettronica, ma solo la Contea di Morgan dispone di una policy DMARC visibile - uno standard di autenticazione email progettato per bloccare phishing e spoofing. È significativo che per Mastercom non sia stata rilevata alcuna grande piattaforma di sicurezza cloud o SaaS di terze parti, il che potrebbe averla lasciata più esposta. Per la Contea di Morgan, un mosaico di record TXT rimanda a sforzi di verifica in corso, eppure queste misure non sono bastate a fermare l’attacco di Incransom.

Il vettore d’attacco preciso non è confermato, ma gli esperti del settore avvertono che il malware infostealer - software malevolo che raccoglie credenziali - spesso apre la strada al ransomware. Una volta dentro, gli attaccanti possono aggirare policy di sicurezza deboli o configurate male, bloccare dati critici e chiedere un pagamento sotto minaccia di esposizione pubblica.

Il contesto più ampio è allarmante: mentre gang ransomware come Incransom diventano più temerarie, persino governi locali di medie dimensioni e fornitori di servizi essenziali non sono più off-limits. Con dati pubblici e comunicazioni d’emergenza a rischio, il costo umano di queste violazioni potrebbe superare di gran lunga le perdite finanziarie.

Riflessioni: la nuova normalità?

L’ultimo doppio colpo di Incransom è un duro promemoria: il ransomware non è più una minaccia lontana riservata ai giganti tecnologici o ai conglomerati globali. La prima linea ora include proprio le istituzioni su cui facciamo affidamento per la vita quotidiana e la sicurezza. Man mano che gli attacchi diventano più coordinati e indiscriminati, cresce la pressione su settore pubblico e privato affinché rafforzino le difese, ripensino le strategie di risposta e - soprattutto - non sottovalutino mai la portata di un avversario determinato.

WIKICROOK

• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Record DNS: I record DNS sono istruzioni digitali che indirizzano il traffico internet verso i server corretti, garantendo che siti web e servizi siano accessibili e sicuri.
• DMARC: DMARC è un protocollo di sicurezza che verifica se le email provengono davvero dal dominio del mittente, aiutando a prevenire impersonificazione e attacchi di phishing.
• Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
• SaaS: SaaS è software accessibile online tramite abbonamento, non installato localmente. Offre comodità ma introduce specifiche considerazioni di cybersicurezza.