Nel mese di febbraio molti ricercatori hanno riscontrato una campagna malevola diretta agli utenti Windows italiani assieme alla diffusione del ransomware chiamato Dharma.
Il ransomware in questione viene veicolato in campagne malevole sin dal 2016 e fa parte della famiglia di virus detta Crysis, cambiando poi varie volte in diverse versioni sempre potenzialmente molto dannose. L’ultima notizia di un attacco con Dharma era stata diffusa nel maggio 2019 ed in quel caso vennero inviate mail con messaggi di allerta per la reinstallazione del proprio antivirus.
La variante di Dharma che gli hacker stanno cercando di veicolare sin dall’inizio di febbraio invece riguarda gli utenti Windows italiani, che vengono attirati nella trappola con una classica mail con un riferimento all’invio di una fattura. Il messaggio, che ha come oggetto la frase Fattura n° 637 del 14.01.2020, contiene un avviso come quello che citiamo:
Gentile Cliente,
in allegato alla presente Le trasmetto la nostra fattura.
Si precisa che questa modalità di invio, tramite posta elettronica, sostituisce quella cartacea e che i documenti allegati sostituiranno l’originale della fattura.
Decreto
Si prega dare gentile conferma di lettura
Nella frase appena vista, la parola Decreto sottolineata è il link ad una pagina OneDrive nella quale, appena vi si entrerà, si scaricherà automaticamente la cartella zip dal nome New Documento 2.zip. All’interno della cartella zip sono presenti due file: Nuovo documento 2.vbs e yuy7z.jpg, quest’ultima è un’immagine che mostra i dati di un dominio qualsiasi.
Una volta aperto il file .VBS, invece, inizia la catena d’installazione dei payload del malware ed i propri file verranno criptati. I file del proprio PC, una volta terminata l’infezione, presenteranno l’estensione .ROGER e verrà visualizzata una schermata nella quale si spiega che, per il rilascio degli stessi, si dovrà contattare l’indirizzo email sjen6293@gmail.com. Ecco un esempio della schermata:
Nella schermata si spiega che nella mail dovrà essere inserito il proprio ID e vengono aggiunte tre condizioni per non avere pesanti ripercussioni come la perdita di tutti i dati.
- Non rinominare i file criptati;
- Non provare a decriptarli con un software;
- La decriptazione con l’aiuto di terze parti farà aumentare il prezzo o far diventare vittime di scamming.
I tecnici ci tengono a precisare che la particolare gravità di questo attacco sta anche nel fatto che, se colpiti da Dharma, l’unico rimedio è avere dei backup pronti o l’unica alternativa che resta è quella di pagare il riscatto. In virtù di quest’ultima considerazione, è bene ricordare i soliti consigli che diamo di fronte ad attacchi di questo genere:
Innanzitutto è sempre bene cestinare le email riferite a fatture con dei link come quello che abbiamo visto in questo articolo. Sebbene la mail sia scritta in italiano corretto, cosa che non sempre avviene, il link sulla parola Decreto dovrebbe far suonare più di un campanello d’allarme. Quando si ricevono mail riguardanti pagamenti o documenti attinenti è sempre consigliato consultare il mittente e, se il nome è verosimile, contattarlo personalmente per sincerarsi del fatto che quel materiale è stato effettivamente inviato.
