Pink: estorsione via vishing che aggira l'MFA

Le aziende investono in patch management, firewall e rilevamento delle intrusioni, ma il gruppo di estorsione Pink non bussa a nessuna di quelle porte: chiama al telefono. Secondo l’analisi di Unit 42 (Palo Alto Networks), che traccia il cluster come CL-CRI-1147 e lo qualifica come extortion brand, l’accesso iniziale ai sistemi aziendali arriva tramite vishing, cioè phishing vocale, senza malware sofisticati, senza cifratura dei dati e senza vulnerabilità zero-day. Una conversazione ben costruita, ed è la vittima stessa a consegnare le chiavi, aggirando di fatto l’intero perimetro tecnologico.

Come funziona la catena di attacco

Lo schema è lineare e per questo efficace. L’aggressore chiama la vittima con false telefonate fingendosi un addetto IT interno e la convince a inserire le proprie credenziali su una pagina di phishing controllata. La pagina cattura non solo username e password, ma anche il secondo fattore: con il furto della sessione, Pink supera l’autenticazione a più fattori senza doverla forzare.

Una volta dentro, l’attore individua ed esfiltra rapidamente i dati: tra le piattaforme prese di mira figurano SharePoint e OneDrive. L’account compromesso viene poi usato per recapitare l’email di estorsione e messaggi minatori direttamente nelle chat interne di Microsoft Teams, portando la pressione dentro gli strumenti di lavoro quotidiani.

Nel modello osservato da Unit 42 non compare alcun payload di cifratura: il ricatto si fonda sui dati sottratti, non sul blocco dei sistemi, in linea con lo spostamento di molti attori finanziariamente motivati dal ransomware classico all’estorsione mirata. I domini di phishing identificati richiamano, non a caso, il lessico della sicurezza moderna: passkeyadd[.]com, passkeydeploy[.]com e deploypasskey[.]com, ospitati tramite l’infrastruttura di DDoS-Guard. Pink riutilizza i domini di secondo livello per colpire più organizzazioni e riserva i domini di terzo livello a bersagli specifici, segno di una pianificazione mirata.

Estorsione a tempo e identità sfuggente

La componente di pressione psicologica è strutturata. In un caso esaminato da Unit 42, dopo trattative rimaste a lungo senza risposta, il 1 giugno 2026 l’aggressore ha ricontattato la vittima da un account di posta gratuito, fornendo un nuovo identificativo qTox e il link al sito Pink Leak, con un ultimatum di 72 ore per rispondere. Il sito di data leak del gruppo, secondo quanto riportato dallo stesso, è stato attivato il 31 maggio 2026, e nel giro di pochi giorni sono comparse le prime presunte vittime.

Sull’attribuzione resta cautela. Google Threat Intelligence, che collega l’attività al codice UNC6671, ritiene che Pink possa non essere un gruppo del tutto nuovo, ma il rebranding di un team esistente: dopo la chiusura del marchio BlackFile nel maggio 2026 sarebbe nato Redact, poi forse riemerso come Pink. Unit 42 collega inoltre il gruppo alla galassia criminale Com, che ricorre a social engineering, furto di account ed estorsione, con tattiche affini a quelle di Bling Libra (noto anche come ShinyHunters).

Perché conta per le aziende

Il dato strategico è che Pink non sfrutta una falla tecnica, ma la fiducia organizzativa. Nessun patch management, per quanto rapido, intercetta una telefonata che convince un dipendente a digitare la password su una pagina falsa. Per i responsabili della sicurezza la lezione è operativa: verificare con procedure fuori banda ogni contatto che si presenti come supporto IT, in particolare le richieste urgenti di aggiornare l’autenticazione a più fattori o di confermare un accesso; rafforzare la formazione contro il vishing; adottare fattori resistenti al phishing, come le passkey legate al dispositivo, proprio ciò che i domini malevoli imitano per ingannare; monitorare comportamenti anomali su SharePoint, OneDrive e Teams. La superficie di attacco, ancora una volta, è umana.

Condividi sui Social Network:

Ultimi Articoli

Secrets management: il segreto migliore è quello che non esiste
A cura di:Redazione Pubblicato il14 Giugno 20269 Giugno 2026

Il secrets management non si risolve con una cassaforte migliore: contano il secret sprawl, la rotazione, i segreti dinamici e l’autenticazione keyless. La guida.

Leggi di più Secrets management: il segreto migliore è quello che non esiste
Vulnerability management risk-based: CISA con la BOD 26-04 ordina di dare priorità al rischio reale
A cura di:Redazione Pubblicato il14 Giugno 202613 Giugno 2026

Vulnerability management risk-based: il 10 giugno la CISA ha emanato la direttiva BOD 26-04, che impone alle agenzie federali priorità di patching basate sull’exploit reale e non più sul solo CVSS. Il giorno dopo, nuovi advisory ICS su Yarbo, Naxclow e Brickcom mostrano sul campo lo stesso profilo di rischio.

Leggi di più Vulnerability management risk-based: CISA con la BOD 26-04 ordina di dare priorità al rischio reale
Detection engineering: il rilevamento come codice, non come artigianato del SOC
A cura di:Redazione Pubblicato il14 Giugno 20269 Giugno 2026

La detection engineering nasce per colmare uno squilibrio che il report M-Trends 2026 di Mandiant misura con precisione: nelle intrusioni analizzate l’accesso iniziale passa da chi lo ottiene a chi lo sfrutta in una mediana di ventidue secondi, e lo sfruttamento di vulnerabilità resta il primo modo per entrare, per il sesto anno consecutivo, con…

Leggi di più Detection engineering: il rilevamento come codice, non come artigianato del SOC
CNAPP: cosa consolida davvero e come valutarlo oltre il marketing
A cura di:Redazione Pubblicato il13 Giugno 202613 Giugno 2026

CNAPP consolida CSPM, CWPP, CIEM e runtime in una piattaforma sola. Cosa unifica davvero e quali criteri usare per valutarlo oltre il marketing.

Leggi di più CNAPP: cosa consolida davvero e come valutarlo oltre il marketing
Piano business continuity cybersecurity: come progettare la resilienza operativa
A cura di:Redazione Pubblicato il13 Giugno 202613 Giugno 2026

Continuità operativa e ripristino non sono sinonimi. Dalla business impact analysis agli obblighi di NIS2 e DORA, come costruire un piano di resilienza che funziona quando serve.

Leggi di più Piano business continuity cybersecurity: come progettare la resilienza operativa
Claude Fable 5, il jailbreak rivendicato e l’architettura a classificatori
A cura di:Redazione Pubblicato il13 Giugno 202613 Giugno 2026

Claude Fable 5: a pochi giorni dal lancio un red-teamer rivendica un jailbreak, Anthropic lo nega e poco dopo il governo USA ne impone la sospensione con un export control. Al di là del clamore, contano due cose: l’architettura a classificatori su un unico modello e il precedente di uno Stato che ritira un modello commerciale.

Leggi di più Claude Fable 5, il jailbreak rivendicato e l’architettura a classificatori

Secrets management: il segreto migliore è quello che non esiste

Vulnerability management risk-based: CISA con la BOD 26-04 ordina di dare priorità al rischio reale

Detection engineering: il rilevamento come codice, non come artigianato del SOC

Piano business continuity cybersecurity: come progettare la resilienza operativa

Claude Fable 5, il jailbreak rivendicato e l’architettura a classificatori

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine