Ricerche sulle CyberMinacce

Un copione già noto, con una variante: gli attori del ransomware 3AM utilizzano una macchina virtuale, vishing e Quick Assist

Un nuovo gruppo di criminali informatici adotta lo schema usato da Storm-1811, combinando email bombing, vishing e falsi operatori dell’help desk per colpire dipendenti specifici — questa volta con una chiamata telefonica
Scritto da , ,
Security Operations Threat Research 3am ransomware BlackBasta leaks email bombing featured Quick Assist abuse vishing

Il ransomware è spesso un crimine opportunistico: gli attaccanti approfittano di vulnerabilità facilmente individuabili, come software esposto a Internet non aggiornato, dispositivi di rete non protetti o porte VPN prive di autenticazione a più fattori.

Tuttavia, alcuni attacchi risultano molto più mirati, preceduti da una fase di ricognizione dettagliata e identificazione di dipendenti specifici all’interno dell’organizzazione.

Sophos ha monitorato diversi attori ransomware che adottano una tecnica resa nota per la prima volta da Microsoft nel maggio 2024 e attribuita al gruppo Storm-1811: si tratta del cosiddetto “email bombing”, ovvero un sovraccarico della casella email del bersaglio tramite messaggi indesiderati, seguito da una chiamata vocale o video tramite Microsoft Teams in cui l’attaccante si finge un tecnico del supporto IT, cercando di convincere l’utente a concedere l’accesso remoto al proprio computer.

Tra novembre 2024 e metà gennaio 2025, Sophos ha documentato due cluster di minacce distinti che hanno adottato questa tecnica in oltre 15 incidenti. Ulteriori attività di threat hunting hanno rivelato più di 55 tentativi di attacco con lo stesso schema.

Nel primo trimestre del 2025, il team di incident response di Sophos ha supportato un’organizzazione presa di mira da attori legati al ransomware 3AM. Lo schema ricalcava l’attacco via email bombing, ma presentava elementi che lo distinguevano dai precedenti episodi di vishing via Teams.

In questo caso, l’attaccante ha effettuato una chiamata telefonica effettuata con lo spoofing cioè simulando il numero del reparto IT dell’organizzazione, per risultare credibile. Inoltre, è stata installata una macchina virtuale sul dispositivo compromesso, in modo da nascondere il primo punto d’accesso agli strumenti di protezione endpoint.

L’attacco ransomware vero e proprio è stato bloccato, ma gli attaccanti sono rimasti nella rete per 9 giorni, riuscendo comunque a rubare dati dall’organizzazione.

Prima dell’attacco, gli attori del gruppo 3AM avevano condotto attività di ricognizione, raccogliendo indirizzi email dei dipendenti e il numero di telefono del reparto IT interno. Tutte queste informazioni sono state usate per personalizzare e rendere più efficace l’attacco.

Leggi tutto l’articolo.

Sean Gallagher
L’autore

Sean Gallagher is Principal Threat Researcher, Sophos X-Ops. Prior to joining Sophos, he was an information security and technology journalist for over 30 years, including 10 as information security and national security editor for Ars Technica.

L’autore

Robert Weiland is a team lead for Sophos Incident Response. Since joining Sophos as an Incident Response Lead in 2021, Robert has cemented a successful track record of leading and advising customers through some of the most challenging days of their careers. Before his career in cybersecurity Robert worked for over a decade in the information technology field.

L’autore

Colin is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, focusing on threat actor identification, incident response and working alongside detection engineers to address emerging threats. In past roles he worked in the financial sector performing internal and external penetration testing.

Leggi articoli simili