Attori di minaccia stanno impersonando Interpol in una campagna ransomware che prende di mira piccole imprese nei settori farmaceutico, alimentare, agricolo, tecnologico, media e legale in Stati Uniti, Europa, Asia e Medio Oriente. Il report di Bitdefender, reso noto da Dark Reading il 2 luglio 2026, documenta un meccanismo che non richiede zero-day né infrastruttura sofisticata: un'email, un archivio su Proton Drive, un payload .NET con password hardcoded. La posta in gioco è l'inversione del paradigma della sicurezza informatica, dove l'assenza di difese strutturali rende il low-effort più redditizio del big game hunting.
- Le email di phishing impersonano ufficiali di Interpol e dichiarano l'organizzazione sotto indagine, citando "video evidence" per indurre il download
- L'archivio malware è ospitato su Proton Drive, servizio legittimo con crittografia end-to-end, e contiene un payload mascherato da file video
- Il ransomware analizzato da Bitdefender presenta valori hardcoded e password di cifratura/decifratura in chiaro, senza le feature tipiche delle grandi operazioni RaaS
- La negoziazione del riscatto avviene via Tox peer-to-peer, senza importo fisso: gli attacchi calibrano la richiesta sulla dimensione percepita della vittima
Il pretesto dell'investigazione internazionale
La campagna si apre con email che sfruttano l'autorità di un'agenzia di polizia internazionale per generare panico e fretta operativa. Il messaggio comunica che l'azienda è sotto indagine per attività sospette e invita a scaricare "video evidence" da un archivio protetto da password ospitato su Proton Drive. La scelta della piattaforma non è casuale: Proton Drive offre crittografia end-to-end e hosting in Svizzera, elementi che possono rallentare le analisi forensi e che appaiono credibili a una vittima in stato di allarme.
Una volta scaricato e aperto l'archivio, il payload si presenta come file video benigno. L'esecuzione attiva la cifratura dei sistemi locali. Secondo Alina Bizga, security analyst di Bitdefender citata nel report, il codice "contains hardcoded values, including the password used during encryption and decryption". Questa architettura elementare contrasta con la modularità e l'offuscamento dei ransomware enterprise, ma non ne compromette l'efficacia contro bersagli privati di team di sicurezza dedicati.
Perché la semplicità tecnica paga
Il dossier descrive esplicitamente il payload come "rudimentary but effective". L'assenza di funzionalità avanzate — nessuna propagazione laterale automatizzata, nessun meccanismo di persistenza sofisticato, nessuna infrastruttura di comando e controllo tradizionale — è compensata da una selezione accurata delle vittime. Le piccole imprese con meno di 25 dipendenti, che secondo il State of SMB Cybersecurity Survey di CrowdStrike rappresentano il 29% delle organizzazioni colpite da ransomware, dispongono raramente di endpoint detection, backup testati o procedure di verifica delle comunicazioni ufficiali.
Il paradosso è che la consapevolezza esiste ma non si traduce in azione. Il 94% dei leader SMB dichiara di essere "very aware" delle minacce informatiche, ma due terzi ammette di non disporre del budget per aggiornamenti di sicurezza. Sophos riporta che il ransomware ha rappresentato il 70% degli incidenti investigati presso account small business, con quota superiore al 90% nelle organizzazioni di medie dimensioni. La campagna Interpol dimostra che questo divario tra percezione e protezione è sufficiente a rendere profittevole anche l'operazione criminale più spartana.
"Even relatively simple malware can become a serious threat when paired with convincing social engineering" — Alina Bizga, Bitdefender security analyst
Il modello Tox: riscatto su misura senza RaaS
Una delle caratteristiche distintive della campagna è l'assenza di una richiesta di riscatto standard. La negoziazione avviene attraverso Tox, protocollo di messaggistica peer-to-peer che non richiede server centrali e che rende difficile il tracciamento delle comunicazioni. Bizga specifica che gli attaccanti "often make contact first and tailor their ransom demands to the size of the organization they've compromised and its perceived ability to pay".
Questo approccio "personal shopper" del crimine informatico rappresenta un adattamento dell'economia ransomware alla distribuzione del capitale nelle economie locali. Se i grandi gruppi RaaS operano con tabellari predefiniti basati sul fatturato stimato — spesso derivato da ricerche OSINT — il modello documentato da Bitdefender sostituisce l'automazione con la negoziazione diretta. Il risparmio su infrastruttura e sviluppo viene reinvestito nel targeting: ogni vittima viene valutata individualmente, il che riduce il volume necessario a mantenere il flusso di entrate.
Il dossier non specifica se la campagna preveda meccanismi di doppia estorsione o leak site. L'esfiltrazione dati non è menzionata tra i comportamenti documentati, il che lascia aperta la questione della leva negoziale degli attaccanti: la pura cripazione dei file può essere sufficiente per le SMB che non dispongono di backup operativi, oppure il ricatto potrebbe estendersi a informazioni non ancora descritte nella fonte.
Il silenzio che alimenta il ciclo
Un dato emergente dal report Bitdefender amplifica il problema strutturale: il 55% delle organizzazioni non segnala le violazioni di sicurezza anche quando è obbligato a farlo. Bizga collega questo fenomeno alla riusabilità delle tattiche criminali: "This lack of reporting makes it harder for the broader security community to understand the true scale of attacks and gives threat actors more opportunities to reuse successful tactics against other organizations".
La combinazione di underreporting e assenza di risorse di sicurezza crea una zona grigia nell'intelligence collettiva. Le campagne che colpiscono piccole imprese generano meno visibility rispetto ai breach enterprise, pur essendo numericamente prevalenti. La fonte non fornisce indicatori di compromissione specifici — hash, domini o indirizzi email — che consentirebbero il rilevamento tecnico a scala. L'identità del gruppo resta generica, descritta come "ransomware thugs" senza attribuzione a operatori noti.
Perché è importante
La campagna documentata dal report Bitdefender ribalta l'assunto che la protezione delle piccole imprese sia proporzionale alla loro attrattiva economica. L'ingegneria sociale sostituisce la sofisticazione tecnica, e l'impersonazione di organizzazioni internazionali come Interpol sfrutta la compliance anxiety — la paura di violare regolazioni non pienamente comprese — che caratterizza le SMB senza reparti legali dedicati.
Il brief non documenta misure correttive specifiche indicate dal report, né procedure di verifica che le imprese possano adottare per convalidare comunicazioni apparentemente istituzionali. Il dossier non specifica se Interpol abbia rilasciato advisory pubblici su questa campagna, né se esistano canali di segnalazione verificabili per le organizzazioni che ricevono contatti analoghi.
Il modello di negoziazione via Tox, inoltre, pone limiti alle capacità di disruption delle forze dell'ordine: l'assenza di infrastruttura centralizzata elimina i punti di intervento tradizionali dei takeover di dominio o dei sequestri di server. La fonte non indaga le possibili correlazioni con campagne precedenti di impersonazione Interpol, lasciando incerta la questione se si tratti di un'operazione isolata o di un pattern ricorrente.
Quello che emerge con chiarezza è la convergenza di due trend: la democratizzazione del ransomware, che richiede sempre meno capitali iniziali, e la stratificazione del mercato criminale, dove i segmenti low-value vengono serviti con modelli di business adattati alla loro capacità di pagamento. La minaccia non è più solo nei sistemi complessi: è nella convinzione che un'email ufficiale sia, per definizione, autentica.
FAQ
- Interpol è stata effettivamente compromessa in questa campagna?
- No. Gli attori di minaccia impersonano l'agenzia come tattica di ingegneria sociale; la fonte non riporta alcuna compromissione dei sistemi di Interpol.
- Il ransomware utilizza exploit o vulnerabilità note?
- Il report descrive un payload .NET-based con crittografia simmetrica e password hardcoded, non exploit di vulnerabilità software. Il vettore di ingresso è l'ingegneria sociale, non la compromissione tecnica preventiva.
- Quanto richiedono gli attaccanti come riscatto?
- Non esiste un importo fisso. La fonte documenta un modello di negoziazione personalizzata via Tox, con importi calibrati sulla dimensione percepita della vittima e sulla sua capacità di pagamento.
Fonti
- https://www.darkreading.com/cyberattacks-data-breaches/attackers-use-interpol-lure-target-small-businesses
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln/detail/CVE-2025-26385
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.