Una nuova campagna malevola sfrutta due ransomware fratelli per attaccare le vittime tramite posta elettronica certificata. I virus infettano il computer criptandone i file.
Il Computer emergency response team della Pubblica amministrazione (Cert-Pa) ha rilevato una nuova variante del ransomware Ftcode che, spacciandosi per un falso avviso di scadenza di alcune fatture, infetta il computer della vittima bloccandolo.
#FTCODE #malware #ransomware ??
home,isdes,com/?need=9f5b9ee&vid=dpec6&1017
home,isdes,com/?need=6ff4040&vid=dpec6&
geer,longmonthairsalon,com
connect,hairsalonlongmont,com@VK_Intel @JAMESWT_MHT @matte_lodi @merlos1977 @58_158_177_102 @gigafio @D3LabIT @BompaniMarco @CertPa pic.twitter.com/xz9vJF1ouu— reecDeep (@reecdeep) October 7, 2019
La campagna ransomware arriva alle vittime tramite posta elettronica certificata mascherata da messaggio, che riporta il pagamento di alcune fatture scadute.
La nuova variante del ransomware è molto simile alla precedente versione diffusa agli inizi di settembre tramite Pec. Entrambe le versione sfruttano le stesse funzioni di persistenza nel sistema, di comunicazione con il Command&Control (C&C, il server che comanda e controlla le azioni del virus), di esecuzione dei comandi sulla macchina infettata e sfruttano anche la stessa cifratura dei file sequestrati.
I due ransomware fratelli differiscono per numerose righe di codice che il secondo presenta rispetto alla sua versione precedente. Innanzitutto la nuova versione è in grado di evitare dei possibile deadlock (il blocco dei processi) grazie a un file di lock utilizzato per consentire al ransomware di agire una sola volta e divenendo inattivo dopo 30 minuti.
Il nuovo ransomware, inoltre, genera un identificatore unico globale (Guid), un numero pseudo-casuale che serve a identificare la vittima, rinominando i file con un’estensione casuale. La password che blocca l’accesso ai dati nel computer è generata tramite Get-Random a differenza della versione precedente che adoperava Membership.GeneratePassword. Questa password è di 50 caratteri alfanumerici e viene inviata in chiaro al C&C.
Entrambi i ransomware sfruttano la posta elettronica certificata per raggiungere le proprie vittime ingannandole con un messaggio che contiene in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola. Una volta scaricato e aperto il file malevolo, Ftcode, o la sua nuova versione, attacca la macchina criptandone i dati e chiedendo un riscatto alla vittima per decriptarli.
Wired, come accaduto con le precedenti campagne, consiglia cautela e nel caso si notino delle e-mail sospette o inattese, ricevute anche da conoscenti, suggerisce di contattare direttamente il mittente per chiedere chiarimenti.
Leggi anche