Una nuova campagna ransomware si spaccia per Interpol per spingere le piccole imprese a infettarsi da sole. I ricercatori di Bitdefender, i cui rilievi sono stati ripresi da testate come SC Media, Infosecurity e Hackread, descrivono email che si fingono un'ufficiale "Interpol Cybercrime Investigation Unit" e sostengono che serva una risposta urgente per collaborare a un'indagine su problemi di conformità o sicurezza. L'esca è l'autorità e la paura. La realtà è un goffo tentativo di indurre il destinatario a eseguire il malware.
C'è un colpo di scena insolito che cambia tutta la reazione da adottare. Chi c'è dietro questa campagna ha costruito il ransomware così male che lo strumento necessario a invertire la cifratura, e la chiave che usa, viaggiano dentro il malware stesso. Questo singolo errore rimette sul tavolo il recupero senza pagare.
Che aspetto ha la campagna della finta Interpol
Il messaggio arriva come un'email confezionata da avviso ufficiale. Usa il nome Interpol e l'etichetta inventata di una "Cybercrime Investigation Unit" e insiste sull'urgenza: la cooperazione del destinatario sarebbe richiesta per un'indagine in corso su una questione di conformità o sicurezza. Questa messinscena punta a cortocircuitare il giudizio. Un dipendente spaventato che crede di essere sorvegliato da un organismo di polizia internazionale è più propenso a cliccare prima e a pensare dopo.
L'email non trasporta il payload direttamente. Rimanda invece a un link Proton Drive dove è ospitato un archivio protetto da password, e fornisce cortesemente la password nel corpo del messaggio. Gli archivi protetti da password sono un classico trucco di evasione: molti scanner di email ed endpoint non riescono a ispezionare il contenuto di un archivio cifrato, così il file dannoso scivola oltre i filtri che altrimenti lo segnalerebbero.
Come funziona la catena di infezione
Una volta che la vittima scarica l'archivio e inserisce la password fornita, non trova un documento. Trova altri archivi annidati al suo interno. Strato dopo strato, l'imballaggio tiene sepolto il payload reale, il che ostacola ulteriormente l'analisi automatizzata e fa sembrare l'oggetto un innocuo insieme di file.
In fondo all'annidamento c'è il ransomware, camuffato da file video. L'ingegneria sociale resta coerente fino alla fine: un destinatario a cui è stato detto che si tratta di un'indagine si aspetta di esaminare prove, quindi un "video" appare plausibile. Quando la vittima prova a riprodurre quel video, l'eseguibile parte. Al posto delle immagini, inizia a cifrare i file sui dischi disponibili e lascia una richiesta di riscatto che esige un pagamento.
La catena è volutamente stratificata ma non sofisticata. Ogni passaggio, la finta autorità, l'hosting di file esterno alla piattaforma, la password fornita, gli archivi annidati, il travestimento da video, è un trucco già noto. Ciò che rende notevole la campagna non è l'ingegno, ma la scelta dei bersagli e un errore di implementazione che si ritorce contro gli aggressori.
La falla chiave: la chiave di decrittazione è dentro il malware
Ecco il dettaglio più importante per qualsiasi vittima. Secondo i ricercatori che hanno analizzato i campioni, questo ransomware porta sia la sua funzione di decrittazione sia la chiave necessaria dentro il malware stesso. In un ceppo costruito correttamente, la chiave che sbloccherebbe i tuoi file viene generata sull'infrastruttura dell'aggressore e non tocca mai la tua macchina, ed è proprio per questo che pagare può sembrare l'unica opzione. Questa campagna fa l'opposto.
Poiché la logica di decrittazione e la chiave sono presenti localmente, è tecnicamente possibile recuperare i file cifrati senza negoziare con gli aggressori né pagarli. È un difetto grave nel design degli aggressori. Significa anche che produttori come Bitdefender sono ben posizionati per pubblicare un decrittatore gratuito costruito a partire da quel materiale incorporato, e che partner antivirus e di polizia possono aggiungerlo al catalogo pubblico di strumenti gratuiti.
Per essere chiari sui limiti: estrarre una chiave incorporata in sicurezza è lavoro da analisti di malware, non qualcosa da improvvisare partendo da un articolo di blog. Non tentare di smontare il campione da solo. La conclusione pratica è più semplice e altrettanto importante: non pagare, perché la cifratura usata qui non è del tipo inviolabile su cui si regge un ransomware implementato correttamente.
Chi viene preso di mira
La campagna punta alle piccole e medie imprese più che ai consumatori, e raggiunge diverse regioni. I ricercatori hanno osservato bersagli negli Stati Uniti, in Europa, in Asia e in Medio Oriente, in un'ampia gamma di settori tra cui tecnologia, finanza, servizi legali, agroalimentare, farmaceutico e media. Questa dispersione suggerisce una distribuzione opportunistica più che un elenco di vittime scelto a mano.
Le piccole imprese sono un bersaglio attraente per un motivo. Spesso mancano di un team di sicurezza dedicato, il personale può essere meno allenato contro l'impersonificazione, e lo shock di un apparente avviso di Interpol può travolgere la consueta prudenza. Gli aggressori scommettono su questa lacuna. Un team ben informato, al contrario, individua la truffa alla prima riga: una vera polizia non invia "prove" di un'indagine come archivio protetto da password da un cloud di consumo.
Cosa fare se ricevi una di queste email
Se un messaggio del genere arriva nella tua casella, trattalo come ostile e non interagire con il payload:
- Non scaricare l'archivio e non aprire alcun file al suo interno. Il ransomware scatta all'apertura del finto video, quindi la mossa più sicura è non arrivare mai a quel passaggio.
- Non rispondere e non usare alcun recapito presente nell'email. Il marchio Interpol è falso, e qualsiasi "unit" nominata nel messaggio è un'invenzione.
- Isola qualsiasi macchina che abbia già scaricato o aperto il file: scollega il cavo di rete, disattiva il Wi-Fi e disconnetti i dischi esterni per limitare la propagazione.
- Segnalalo al tuo team IT o di sicurezza e alla tua autorità nazionale per il cybercrimine. Se devi verificare una richiesta di polizia autentica, contatta l'ente tramite i suoi canali pubblici ufficiali, mai tramite l'email.
Cosa fare se i tuoi file sono già cifrati
Se il payload è già stato eseguito e i tuoi file sono bloccati, la risposta ricalca il protocollo standard del ransomware, con un fattore incoraggiante: il design difettoso di questo ceppo rende realistico un recupero gratuito. Procedi con calma, passo dopo passo.
Inizia isolando la macchina e fotografando la richiesta di riscatto e l'estensione dei file cifrati. Poi identifica il ceppo con precisione: la nostra guida all'identificazione con ID Ransomware spiega come caricare un campione e la richiesta per stabilire esattamente cosa ti ha colpito. Un'identificazione accurata è ciò che permette di trovare o costruire un decrittatore adatto.
Poi controlla gli strumenti gratuiti ufficiali. Poiché la chiave è incorporata, un decrittatore per questa famiglia è fattibile, quindi consulta il portale No More Ransom e la pagina degli strumenti gratuiti di Bitdefender. La nostra guida pilastro su come decriptare un ransomware senza pagare spiega come trovare, verificare e testare in sicurezza un decrittatore ufficiale su una copia prima di eseguirlo su larga scala. Se per il tuo campione esatto non esiste ancora uno strumento, conserva i file cifrati su un disco esterno pulito e ricontrolla, perché gli strumenti per i ceppi difettosi spesso arrivano.
Se disponi di un backup pulito e scollegato antecedente all'attacco, ripristinarlo è la via affidabile più rapida. Qualunque strada tu scelga, non pagare il riscatto: il pagamento finanzia l'operazione, ti segnala come bersaglio facile ed è inutile quando la cifratura stessa è reversibile. Per la risposta completa passo per passo e le opzioni di recupero, consulta le nostre guide su cosa fare quando i tuoi file sono cifrati da un ransomware e come recuperare i file dopo un ransomware.
Come una piccola impresa può rafforzarsi
Questa campagna riesce grazie alle persone, non a una brillantezza tecnica, quindi le difese più forti sono organizzative. Forma il personale a diffidare di qualsiasi messaggio non richiesto che dice di essere della polizia e chiede di scaricare un file protetto da password, e rendi normale fermarsi a verificare invece di reagire all'urgenza. Blocca, ove possibile, i tipi di allegato a rischio e gli archivi protetti da password sul gateway di posta, perché è esattamente l'evasione su cui punta questa campagna.
Mantieni backup offline o immutabili così che anche una cifratura riuscita resti un fastidio e non una crisi, e verifica di poterli davvero ripristinare. Infine, stabilisci una regola semplice: ogni contatto reale di un'agenzia di polizia si verifica tramite i canali nazionali ufficiali, mai tramite un link, un allegato o un numero di telefono forniti in un'email inattesa. Queste abitudini neutralizzano la paura che questa finta campagna Interpol è progettata per sfruttare.
Guide correlate
- Decriptare un ransomware senza pagare: guida completa 2026
- File cifrati da un ransomware: cosa fare ora
- Recuperare i file dopo un ransomware
Fai subito il backup per fermare il ransomware → EaseUS Todo Backup
Backup automatici · clone del disco · copia offline
