E-mail fantasma: arrivata, ma (forse) non partita consapevolmente dal mittente
Inviato: lun lug 01, 2019 8:21 am
La questione è un pochino arzigogolata; cercherò tuttavia di essere quanto più chiaro possibile.
Qualche settimana fa l'azienda di un mio amico viene attaccata, purtroppo per loro con successo, da una variante del ransomware Dharma per cui, al momento, non sembrerebbe esistere alcun tool per la decriptazione dei documenti compromessi. Circostanza questa confermata oltre che dall'assistenza informatica intervenuta anche da F-Secure e da ID Ransomware.
Nell'organizzazione l'antivirus installato era ed è ESET NOD32 che, al momento dell'attacco, in alcune macchine non riceveva però aggiornamenti da mesi.
La soluzione è stata quella di isolare le macchine infette, eliminare l'aggressore e ripristinare copie di backup pulite.
Come pure in questo forum mi era stato immediatamente suggerito (QUI).
Il fatto nuovo, e non so se e quanto collegato all'attacco ransomware, è il seguente.
Questo mio amico, al vertice dell'azienda, riceve l'altro giorno un'e-mail sul suo iPad da un comune (suo e mio) conoscente. Questa e-mail contiene un collegamento a un non meglio precisato sito.
Stante l'esperienza, il mio amico chiama il conoscente e gli chiede se veramente aveva inviato il messaggio e, sorpresa, il conoscente smentisce di aver inviato tale mail.
Sto per arrivare alla conclusione, eh!
Il conoscente ha tre dispositivi:
- un computer fisso con Windows 8.1 protetto da Kaspersky antivirus nella versione a pagamento e risultato - all'apparenza?! - pulito, anche dopo una serie di ricerche con lo stesso Kaspersky, Malwarebytes, SUPERAntiSpyware e Dr.WEB CureIt!;
- un computer portatile con Windows 7 protetto da Microsoft Security Essentials, controllato poi da me con Malwarebytes, SUPERAntiSpyware, Dr.WEB CureIt! e i live CD sia Kaspersky Rescue Disk sia Avast Rescue Disk, senza aver trovato alcuna traccia di virus o malware;
- uno smartphone di qualche anno fa.
Tra la posta inviata del conoscente non appare questa fantomatica e-mail trasmessa al mio amico e contente il link.
Finale: cosa può essere successo? Qualcuno ha rubato le credenziali dell'account del comune conoscente e spedito al mio amico il link? Avendo poi cura di eliminare la mail tra la posta inviata?
Dopo tutti e nonostante tutti i controlli eseguiti, può essere che i dispositivi in possesso del conoscente siano infetti e il malware eventualmente presente abbia spedito l'e-mail?
... io non ci sto capendo più nulla.
La mia sensazione è che il mio amico possa aver subito, durante l'attacco ransomware, qualche furto, anche dei contatti e adesso possa ricevere e-mail del genere in modo da incappare di nuovo nel rapimento dei suoi documenti.
Grazie per l'attenzione!