Da “www.wired.it”  fonte sito web

A cura di Gabriele Porro.

Una nuova campagna malevola sfrutta due ransomware fratelli per attaccare le vittime tramite posta elettronica certificata. I virus infettano il computer criptandone i file.

Email di phishing (Getty Images)
Email di phishing (Getty Images)

Il Computer emergency response team della Pubblica amministrazione (Cert-Pa) ha rilevato una nuova variante del ransomware Ftcode che, spacciandosi per un falso avviso di scadenza di alcune fatture, infetta il computer della vittima bloccandolo.

reecDeep@reecdeep

   ????????
home,isdes,com/?need=9f5b9ee&vid=dpec6&1017
home,isdes,com/?need=6ff4040&vid=dpec6&
geer,longmonthairsalon,com
connect,hairsalonlongmont,com@VK_Intel @JAMESWT_MHT @matte_lodi @merlos1977 @58_158_177_102 @gigafio @D3LabIT @BompaniMarco @CertPa

Visualizza l'immagine su TwitterVisualizza l'immagine su TwitterVisualizza l'immagine su TwitterVisualizza l'immagine su Twitter
Visualizza altri Tweet di reecDeep

La campagna ransomware arriva alle vittime tramite posta elettronica certificata mascherata da messaggio, che riporta il pagamento di alcune fatture scadute.

Esempio di una mail ricevuta tramite Pec contenente il ransomware Ftcode (fonte: Cert-Pa)

La nuova variante del ransomware è molto simile alla precedente versione diffusa agli inizi di settembre tramite Pec. Entrambe le versione sfruttano le stesse funzioni di persistenza nel sistema, di comunicazione con il Command&Control (C&C, il server che comanda e controlla le azioni del virus), di esecuzione dei comandi sulla macchina infettata e sfruttano anche la stessa cifratura dei file sequestrati.

I due ransomware fratelli differiscono per numerose righe di codice che il secondo presenta rispetto alla sua versione precedente. Innanzitutto la nuova versione è in grado di evitare dei possibile deadlock (il blocco dei processi) grazie a un file di lock utilizzato per consentire al ransomware di agire una sola volta e divenendo inattivo dopo 30 minuti.

Il nuovo ransomware, inoltre, genera un identificatore unico globale (Guid), un numero pseudo-casuale che serve a identificare la vittima, rinominando i file con un’estensione casuale. La password che blocca l’accesso ai dati nel computer è generata tramite Get-Random a differenza della versione precedente che adoperava Membership.GeneratePassword. Questa password è di 50 caratteri alfanumerici e viene inviata in chiaro al C&C.

Entrambi i ransomware sfruttano la posta elettronica certificata per raggiungere le proprie vittime ingannandole con un messaggio che contiene in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola. Una volta scaricato e aperto il file malevolo, Ftcode, o la sua nuova versione, attacca la macchina criptandone i dati e chiedendo un riscatto alla vittima per decriptarli.

Wired, come accaduto con le precedenti campagne, consiglia cautela e nel caso si notino delle e-mail sospette o inattese, ricevute anche da conoscenti, suggerisce di contattare direttamente il mittente per chiedere chiarimenti.