La guerra in Ucraina purtroppo continua e continuano anche gli “effetti collaterali” legati al cybercrime. Da inizio 2021, i ricercatori di Proofpoint hanno monitorato le campagne di e-mail dannose del gruppo cybercriminale TA499, allineato alla Russia, noto pubblicamente come Vovan e Lexus. Le sue campagne hanno iniziato a crescere a fine gennaio 2022, culminando in tentativi sempre più aggressivi dopo l’invasione dell’Ucraina da parte della Russia a fine febbraio 2022. Da quel momento, l’attore della minaccia si è impegnato in un’attività costante e ha esteso il suo target includendo importanti uomini d’affari e persone di alto profilo che si sono esposte supportando agli impegni umanitari ucraini con donazioni o rilasciando dichiarazioni pubbliche sulla disinformazione e la propaganda russa.
Propaganda russa mascherata da ingegneria sociale
Questi messaggi cercano di sollecitare informazioni dalle persone prese di mira e indurle a ulteriori contatti tramite telefonate o video a distanza. Le e-mail non contengono malware, ma solo comunicazioni o inviti che sembrano provenire da un’ambasciata ucraina, dal Primo Ministro ucraino, da un parlamentare ucraino o dai loro assistenti.
Proofpoint identifica TA499 come una coppia dedita alla disinformazione, basata sull’impersonificazione a sfondo patriottico, composta da attori allineati allo Stato russo. Il gruppo è solito prendere di mira persone di alto profilo che si sono espresse sul regime russo, a favore delle sanzioni contro la Russia e contro la detenzione del noto leader dell’opposizione russa Alexei Navalny. Sebbene non si conosca il livello di sostegno ufficiale del governo ricevuto da TA499, le registrazioni sono generalmente utilizzate per raccogliere sostegno e simpatia per l’attuale regime russo e le sue azioni.
“TA499 è un content creator che cerca di produrre contenuti digitali che abbiano influenza su scala globale. Si affida molto all’ingegneria sociale sia nelle e-mail che nelle videochiamate successive,” sottolineano i ricercatori di Proofpoint. “I suoi camuffamenti fisici possono essere molto convincenti, per questo è fondamentale essere a conoscenza delle tipologie di coinvolgimento via e-mail che una potenziale vittima può aspettarsi, per interrompere i piani di questo attore di minacce”.
Da fine gennaio 2022, TA499 ha concentrato i propri tentativi e-mail per programmare un incontro video o telefonico con funzionari governativi nordamericani o europei di alto profilo e amministratori delegati di aziende importanti. Rispetto all’attività del 2021, queste campagne si sono focalizzate quasi esclusivamente su argomenti relativi alla guerra tra Russia e Ucraina. Anche dopo aver ampliato il ventaglio di obiettivi a marzo 2022, includendo figure pubbliche che non ricoprono posizioni governative, come CEO aziendali e celebrità, l’attore ha mantenuto le stesse esche a tema di ingegneria sociale.
