Cyberattack e furto cargo: rischio RMM nella logistica

L'impatto dei cyberattack sul furto cargo: come il phishing e il software RMM dirottano le merci nella logistica. Ecco cosa sapere sui nuovi scenari.

Contenuto

Cyberattack e furto cargo: rischio RMM nella logistica
Cyberattack e furto cargo: rischio RMM nella logistica

L'FBI ha recentemente messo in guardia l'industria dei trasporti su una forte crescita dei furti di carico facilitati da cybersicurezza compromessa. Le perdite stimate per i furti di carico negli Stati Uniti e in Canada hanno raggiunto quasi 725 milioni di dollari nel 2025. Gli attacchi informatici stanno cancellando il confine tra sicurezza digitale e sicurezza fisica, permettendo al crimine organizzato di dirottare interi carichi di merci nel mondo reale.

Il contesto del furto cargo e l'allarme dell'FBI

L'evoluzione del crimine organizzato ha trovato nel settore della logistica un terreno particolarmente vulnerabile, dove l'intersezione tra minacce informatiche e furto fisico sta diventando sempre più marcata. Come riportato dalle recenti valutazioni, "The U.S. Federal Bureau of Investigation (FBI) warned the transportation and logistics industry of a sharp rise in cyber-enabled cargo theft, with estimated losses in the United States and Canada reaching nearly $725 million in 2025." Questo ammonimento sottolinea un cambio di paradigma: i malintenzionati non si limitano a rubare dati o criptarli per richiedere un riscatto, ma manipolano i sistemi informativi per sottrarre fisicamente le merci.

La convergenza tra cybersicurezza e sicurezza fisica rappresenta una sfida complessa per broker e vettori. Le aziende di trasporto vedono i propri carichi dirottati attraverso compromissioni digitali che sfruttano le procedure operative standard del settore. La capacità dei criminali di manipolare le transazioni logistiche tramite l'accesso remoto dimostra una profonda comprensione delle dinamiche operative commerciali, rendendo necessaria una revisione profonda delle difese perimetrali e interne.

L'anatomia dell'attacco: phishing e ingegneria sociale

Le campagne di attacco monitorate da Proofpoint a partire dalla fine di agosto 2025 hanno distribuito migliaia di messaggi malevoli, seguendo una metodologia precisa che combina l'ingegneria sociale con l'uso improprio di strumenti di gestione remota. Gli attaccanti impiegano tre tattiche principali di ingegneria sociale per ingannare le vittime: la compromissione di load board, il dirottamento di thread di email e le campagne email dirette.

La compromissione delle load board, le piattaforme digitali dove broker e vettori si incontrano per organizzare il trasporto delle merci, è determinante. Impadronendosi di questi account, i criminali possono pubblicare carichi fraudolenti o intercettare quelli legittimi. Il dirottamento dei thread di email, invece, permette agli attaccanti di inserirsi in conversazioni già in corso tra operatori del settore, modificando le istruzioni di consegna o i documenti di trasporto senza che le parti legittime se ne accorgano. Le campagne email dirette completano il quadro, mirando a infettare direttamente i terminali dei broker e dei vettori con payload specifici.

Il ruolo degli strumenti RMM nell'evasione della sicurezza

L'obiettivo finale di queste campagne di ingegneria sociale è indurre le vittime a installare software di monitoraggio e gestione a distanza (RMM). Tra i software RMM abusati figurano ScreenConnect, PDQ Connect, SimpleHelp, N-able, Fleetdeck e LogMeIn Resolve. L'uso di strumenti RMM legittimi rappresenta una variante subdola e mirata per il settore logistico. Questi programmi, progettati originariamente per l'assistenza tecnica e la gestione dei parco informatici, vengono sfruttati per ottenere l'accesso remoto persistente ai sistemi delle vittime.

Poiché gli attaccanti sfruttano installatori firmati e legittimi, questo approccio consente di eludere i sistemi di rilevamento tradizionali. È probabile che l'uso di strumenti legittimi riduca i sospetti da parte degli operatori e dei software antivirus, permettendo ai criminali di operare indisturbati all'interno delle reti compromesse. Le campagne attuali sono state collegate ad attività precedenti che distribuivano NetSupport e altri software per il furto di dati, sebbene l'attività criminale recente non sia stata attribuita a un noto attore di minacce. La presenza di installatori RMM firmati rende la fase di identificazione e contenimento dell'attacco particolarmente complessa per i team di sicurezza.

L'esecuzione del furto di merci fisiche

Una volta ottenuto l'accesso ai sistemi dei broker e dei vettori tramite i software RMM, gli attaccanti sfruttano i flussi di lavoro del settore per coordinare i furti fisici. Come evidenziato da Proofpoint, "By infecting freight brokers and trucking carriers with Remote Monitoring and Management (RMM) software, these attackers are successfully stealing commercial shipments ranging from electronics to energy drinks." La gamma di merci sottratte dimostra che i criminali non hanno target specifici per tipo di carico, ma mirano a qualsiasi spedizione di valore facilmente rivendibile.

Attraverso l'accesso remoto, i malintenzionati pubblicano carichi fraudolenti sulle load board compromesse e manipolano le istruzioni di ritiro. Dirottando i thread di comunicazione, forniscono ai conducenti istruzioni false per il ritiro delle merci, dirottando fisicamente il camione verso location controllate dai criminali. Questo metodo cancella di fatto la distinzione tra un attacco informatico e una rapina fisica, poiché l'intrusione digitale si traduce direttamente nella perdita tangibile del carico.

Strategie di difesa e mitigazione per la logistica

Per contrastare questa crescita delle minacce, le aziende del settore dei trasporti e della logistica devono adottare un approccio di sicurezza integrato. È prioritario limitare l'uso dei software RMM ai soli strumenti approvati e verificati. Le organizzazioni dovrebbero inoltre monitorare costantemente la rete per identificare attività sospette verso server RMM non autorizzati, poiché questo rappresenta spesso il primo segnale di una compromissione in corso.

Un'altra pratica necessaria è evitare il download e l'installazione di file eseguibili (.exe o .msi) ricevuti via email da mittenti esterni non verificati. Poiché gli attacchi sfruttano l'ingegneria sociale attraverso messaggi diretti e la compromissione delle comunicazioni, formare il personale affinché sia in grado di riconoscere i tentativi di phishing e segnalare immediatamente qualsiasi attività sospetta diventa un passaggio essenziale. Il furto di merci è un'impresa criminale in espansione e i dati mostrano che i malintenzionati stanno prendendo sempre più spesso di mira le aziende di trasporto per rubare beni fisici reali. Si prevede che le perdite continueranno ad aumentare se non verranno implementate misure di difesa adeguate.

Domande frequenti

Come avvengono i furti di carico abilitati dal cyberspazio?
I criminali utilizzano il phishing e l'ingegneria sociale per compromettere i sistemi dei broker e dei vettori logistici, installando software RMM legittimi per ottenere l'accesso remoto. Una volta dentro, manipolano le comunicazioni e le piattaforme di scambio carichi per dirottare fisicamente le spedizioni.
Quali sono i software RMM sfruttati in questi cyberattack?
Gli attaccanti abusano di programmi legittimi di monitoraggio e gestione remota come ScreenConnect, PDQ Connect, SimpleHelp, N-able, Fleetdeck e LogMeIn Resolve. I loro installatori firmati eludono i sistemi di sicurezza tradizionali.
Quali sono le tre tattiche di ingegneria sociale usate per il furto cargo?
Le tre tattiche principali includono la compromissione delle load board (piattaforme di scambio carichi), il dirottamento di thread di email tra gli operatori e l'invio di campagne email dirette contenenti migliaia di messaggi malevoli.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews