Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuove minacce

Pink Extortion infetta le imprese con una telefonata: come difendersi dal finto ransomware

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Il malware si mimetizza da personale IT interno, per indurre le vittime a immettere le password su pagine fasulle, in modo da accedere velocemente a SharePoint, OneDrive e altri sistemi aziendali della galassia Microsoft 365. Ecco come mitigare il rischio di Pink Extortion

Pubblicato il 15 giu 2026
Aggiungi tra i preferiti su Google
DEVSECOPS; Pink Extortion infetta le imprese con una telefonata: come difendersi dal finto ransomware
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

A Pink Extortion è sufficiente una telefonata per ottenere le password. Infatti, è un finto ransomware che sfrutta il vishing (il phishing vocale) per colpire le imprese, conquistando – con tecnica estorsiva – le credenziali aziendali e bypassando l’autenticazione multifattore.

Secondo Unit 42 e Google Threat Intelligence, Pink si mimetizza da personale IT interno, per indurre le vittime a immettere le password su pagine fasulle, in modo da accedere velocemente a SharePoint, OneDrive ed altri sistemi aziendali della galassia Microsoft 365.

“Quello che il gruppo Pink Extortion mette in atto contro gli utenti Microsoft 365 non è ransomware in senso tecnico”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Tuttavia, è temibile. Infatti, “il caso sembra quasi segnare un ritorno all’antico, con un pizzico di modernità, in fondo il vishing è stata la madre di tutte le tecniche di social engineering e senza dubbio sta vivendo una nuova stagione d’oro”, secondo Alessandro Curioni, Presidente e fondatore di DI.GI Academy.

Ecco come proteggersi.

Il finto ransomware Pink Extortion

Pink, nome in codice cluster CL-CRI-1147, potrebbe essere frutto dell’evoluzione di precedenti gruppi ransomware o rebranding di un team esistente, anche se tecnicamente non lo è. Ma costituisce una cyber minaccia in crescita che scommette sul social engineering invece di avvalersi di tecnicalità più raffinate.

“Il ransomware infatti presuppone la presenza di malware, cifratura dei dati, compromissione di sistemi. Qui non c’è nulla di tutto questo: si tratta però di esfiltrazione di dati seguita da estorsione telefonica, ovvero vishing combinato con social engineering classico”, avverte Dario Fadda.

Con una telefonata, gli attori criminali inducono le vittime a parlare con un dipendente IT interno di un’impresa e poi le convincono a immettere le proprie credenziali su una pagina fasulla, sotto il loro controllo.

In questo caso, “è interessante un passaggio fondamentale. Se in passato il criminale cercava di farsi dire le credenziali adesso chiede di scriverle all’interno di quello che apparentemente è un sito legittimo.

L’effetto psicologico sulla vittima è senza dubbio potente, perché non ha la sensazione di rivelarla a ‘qualcuno’ (violando una regola elementare sulla quale da due decenni insistono regolamenti e corsi di formazione), ma semplicemente a ‘qualcosa’ che, se presentato nei giusti modi, può sembrare una misura di sicurezza“, sottolinea Curioni.

Una volta ottenuto l’accesso tramite una telefonata persuasiva, l’immissione delle credenziali su un sito di phishing, aggirata l’autenticazione a più fattori, Pink punta all’estrazione rapida dei dati dai sistemi aziendali.

Le piattaforme nel mirino sono soprattutto SharePoint e OneDrive. L’account compromesso permette infine agli aggressori l’iniezione di ransomware e messaggi nelle chat interne di Microsoft Teams.

I dettagli

Pink Extortion (che, dopo la chiusura di BlackFile nel maggio 2026, era riemerso come Redact e potrebbe ora essersi così ribattezzato) ha un’infrastruttura affine per il furto di credenziali, un sito di data breach simile e i cyber criminali ripetono i messaggi persuadendo le vittime a ricevere aiuto per migliorare la propria sicurezza” in cambio di un pagamento.

Google intravede legami fra questa attività e il codice UNC6671. “Non essendo ransomware, per il momento si è scelto che il gruppo non sia in monitoraggio su Ransomfeed, quindi non ho dati da condividere su questo scenario”, avverte Dario Fadda.

Come proteggersi

In mancanza di ransomware, Pink Extortion elude i controlli, ma affina le tecniche di social engineering, furto di account ed estorsione. Tutte tattiche analoghe a quelle di Bling Libra, ShinyHunters, cluster CL-CRI-1116, associato a Blackfile Redact.

“Non essendoci malware, non ci sono difese tecniche capaci, se non la percezione umana. Nessun EDR potrà fermare una telefonata. Il meccanismo è lo stesso che esiste da decenni: qualcuno ti chiama, finge di avere informazioni compromettenti su di te, e ti chiede soldi per il silenzio”, mette in guardia Fadda.

“Negli ultimi tempi, gli attacchi puntano sempre meno sulla tecnologia e sempre di più sulla psicologia”, conclude Curioni.

Per proteggersi servono consapevolezza, come prima arma di difesa, formazione e simulazioni in azienda per imparare a non cadere vittime di phishing e ingegneria sociale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • reporting CISO; DBIR 2026, il ritorno ai fondamentali nella cyber: le 5 azioni strutturali da mettere in campo

  • il report

    DBIR 2026, il ritorno ai fondamentali nella cyber: le 5 azioni strutturali da mettere in campo

    25 Mag 2026

    di Gerardo Costabile

    Condividi
  • NIS2 punto di contatto referente CSIRT; Integrare IT, OT e governance per costruire una postura NIS 2 realmente resiliente; NIS2 e CPG: dalla compliance alla governance della supply chain digitale

  • la riflessione

    NIS2, punto di contatto e referente CSIRT: il dilemma dell’auto-designazione

    15 Ott 2025

    di Tania Orrù

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • Vulnerability management; Cisco Talos 2025: i rischi maggiori sono la rapida weaponizzazione delle vulnerabilità e la pluriennale persistenza di falle mai sanate

  • il report

    Cyber security: perché gli attaccanti corrono più veloci dei difensori

    08 Apr 2026

    di Luisa Franchina e Tommaso Diddi

    Condividi
0
Lascia un commento, la tua opinione conta.x