Articoli

La truffa della finta fattura TIM, il ransomware FTCODE torna a colpire le PEC italiane

Il ransomware FTCODE torna a colpire le PEC di aziende e pubbliche amministrazioni italiane, questa volta nascondendosi dietro una finta fattura TIM e rubando dati riservati: una grave minaccia per organizzazioni e professionisti in quanto al momento non c’è modo di recuperare i file cifrati.

È stata individuata una nuova variante di FTCODE, il ransomware che prende di mira le caselle di posta elettronica certificata (PEC) intestate ad aziende e pubbliche amministrazioni italiane.

Rispetto alle vecchie versioni, FTCODE non si diffonde più mediante documenti DOC contenenti una macro malevola: nell’attuale campagna di malspam individuata dagli analisti del CERT-PA, il malware viene infatti veicolato mediante e-mail PEC malevoli contenenti un unico link che richiama il testo dell’oggetto di una precedente conversazione con il mittente.

Cliccando sul collegamento presente nel messaggio di posta elettronica certificata, l’ignara vittima non fa altro che scaricare un file ZIP al cui interno i criminal hacker hanno archiviato un file VBS. Dalle analisi effettuate, l’archivio compresso è al momento ospitato su un account Dropbox e non è quindi escluso che l’indirizzo a cui punta il link malevolo possa essere modificato durante l’evolversi della campagna di malspam.

Per rendere credibile la comunicazione via PEC, nel momento in cui viene eseguito il file VBS la nuova variante del ransomware FTCODE scarica e visualizza alla vittima un’immagine che riproduce una vera e propria fattura telefonica TIM.

Non c’è modo di recuperare i file cifrati

Rispetto alle prime varianti del ransomware già individuate il 2 e il 10 ottobre scorsi, i criminal hacker hanno perfezionato il codice malevolo di FTCODE per impedire l’individuazione in chiaro della chiave di cifratura dei file e quindi lo sblocco dei contenuti archiviati sull’hard disk delle vittime mediante un apposito decryptor.

Subito dopo l’installazione sulla macchina target, infatti, FTCODE esegue alcune semplici operazioni usando codice PowerShell utile a cifrare la chiave di codifica dei file prima di comunicarla al server di comando e controllo gestito dagli stessi criminal hacker.

Dopodiché, FTCODE inizia ad estrarre dati personali della vittima, comprese le sue password. La nuova variante del ransomware FTCODE rappresenta dunque una seria minaccia per aziende, professionisti e pubbliche amministrazioni in quanto non c’è modo di recuperare i propri file una volta cifrati.

I dettagli delle vecchie varianti

Come detto, già lo scorso 2 ottobre il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.

In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.

Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.

La variante successiva aveva numerose parti di codice in comune con la precedente versione, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo, quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.

I consigli per difendersi

Per difendersi dal ransomware FTCODE è utile ricordare che le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.

Innanzitutto è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.

Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.

Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.

Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.

 

Fonte: CyberSecurity360