Il rapporto di Group-IB smaschera gli hacker di W3LL
L’indagine evidenzia i modus operandi dei criminali dediti a truffe di tipo phishing su account email aziendali
Group-IB, leader globale nel campo della cybersecurity ha pubblicato un nuovo rapporto sulle minacce: “W3LL done: Hidden phishing ecosystem driving BEC attacks” (Ben fatto: Ecosistema di phishing occulto perpetra attacchi BEC – Business Email Compromise) descrive dettagliatamente le operazioni di W3LL, protagonista di minacce ed operazioni di phishing a danno degli account email aziendali. Le squadre di Threat Intelligence e Cyber Investigation di Group-IB hanno monitorato l’evoluzione di W3LL e scoperto che, negli ultimi sei anni, l’organizzazione ha svolto un ruolo importante nella compromissione di account aziendali di posta elettronica di Microsoft 365. É stato anche creato un marketplace sotterraneo, il W3LL Store, al servizio di una comunità chiusa di almeno 500 cybercriminali che qui possono acquistare un kit di phishing personalizzato chiamato W3LL Panel, progettato per eludere l’autenticazione a più fattori (MFA), e altri 16 strumenti completamente personalizzati per gli attacchi atti a compromettere account e-mail aziendali (BEC). Il W3LL Panel può essere considerato uno dei kit di phishing più avanzati della sua categoria poiché dotato di funzionalità “adversary-in-the-middle” (AitM), API, protezione del codice sorgente e altre caratteristiche uniche.
Il W3LL Panel non dispone di una varietà di pagine fasulle ed è stato progettato specificamente per compromettere gli account di Microsoft 365. Le campagne di phishing condotte con gli strumenti di W3LL sono altamente persuasive e fanno uso di diversi strumenti. Dopo aver compromesso un obiettivo, i cybercriminali procedono alla fase di identificazione degli account, al termine della quale possono effettuare i seguenti crimini: furto di dati, truffa con fatture falsificate, impersonificazione del proprietario dell’account o distribuzione di malware tramite l’account di posta elettronica compromesso. Le conseguenze per un’azienda che ha subito un attacco BEC possono andare ben oltre le perdite finanziarie dirette e includere la perdita di dati, danni alla reputazione, richieste di risarcimento e persino cause legali.
Gli inizi di W3LL risalgono al 2017, quando i criminali sono entrati sul mercato con W3LL SMTP Sender, uno strumento personalizzato per l’invio di massa di mail di spam. In seguito, W3LL ha sviluppato e iniziato a commercializzare la propria versione di un kit di phishing che mirava agli account aziendali di Microsoft 365. La crescente popolarità del comodo set di strumenti ha spinto l’ideatore ad aprire uno store sotterraneo in lingua inglese. Il W3LL Store fu avviato nel 2018. Nel tempo, la piattaforma si è evoluta in un ecosistema BEC totalmente autosufficiente che propone un’ampia gamma di servizi di phishing per criminali informatici di tutti i livelli, dai tool di phishing su misura, fino ad articoli supplementari come elenchi di indirizzi e-mail e accessi a server compromessi. Il W3LL Store eroga anche servizi di “supporto alla clientela” tramite un sistema di ticketing e una chat web in diretta. I criminali informatici che non hanno le competenze necessarie per utilizzare gli strumenti possono guardare tutorial video.