FTCODE: la nuova campagna ransomware via PEC.

Nel settembre scorso, CERT-PA (sito di AgID per la segnalazione da parte delle PA di attacchi informatici) ha diramato una comunicazione riguardante la diffusione di una nuova campagna Ransomware veicolata tramite caselle di PEC e posta elettronica ordinaria compromesse. Il ransomware si chiama FTCODE, in quanto cifra i file delle vittime utilizzando l’estensione .ftcode per poi chiedere un riscatto.

La stessa CERT-PA ha anche ricevuto e dato notizia di una serie di varianti di questa campagna malevola, delle quali faremo una lista completa.

In linea generale, però, si può dire che la campagna si è diffusa tramite mail dal contenuto testuale molto semplice e con in allegato una cartella compressa .zip contenente un file corrotto (inizialmente .doc e poi VBS). Se la funzionalità macro di questo documento viene attivata inizia il contagio ed il malware comincia a criptare i dati.

Tutte le varianti osservate

– La prima variante riscontrata di FTCODE ha come oggetto “Fatture scadute 2019 2644199” e contiene il messaggio “In allegato trova la fattura. 611608. Cordiali Saluti”. L’allegato .zip ha una denominazione alfanumerica molto lunga, già questo, come abbiamo spiegato nell’ultimo articolo sulla cybersecurity, sarebbe abbastanza per capire che c’è qualcosa che non va.

– La seconda variante ha come oggetto “RE:: ReSPIN TIM ID” ed il testo è “RE: ReSPIN TIM ID Si trasmette,  in allegato,il file relativo a quanto indicato in oggetto”. L’allegato .zip ha un nome diverso e più breve rispetto a quello della prima variante. Gli errori di battitura nel corpo della mail (spazi inseriti male) sono un altro dei campanelli di allarme che ci fanno capire quanto può essere sospetta questa mail.

– La terza variante ha come oggetto “FWD:: partecipazione al sistema di pagamenti informatici” e contiene un link cliccabile con lo stesso testo. Dal FWD si può capire come questa comunicazione fasulla faccia riferimento a conversazioni passate ma mai veramente avvenute. Successivamente questa variante ha mutato oggetto in “FileXXXXXXX.zip”.

– Una quarta variante presenta diversi link nel corpo della mail tutti caratterizzati dalla presenza di un punto esclamativo alla fine (uno di questi link è “Conferma protocollazione emailProtocollo n 00070962019 Codice AooADG Codice amministrazioneAGID !”). Questi link puntano a un archivio Zip nominato “archivos” e ad un file VBS. Il file .zip è pieno di file nulli che ne giustificano la dimensione, mentre il file VBS fa iniziare il contagio.

– una quinta variante si è aggiunta recentemente ed ha molte sotto-varianti: i messaggi possono avere molti oggetti (“esposto circa la SOGEI”, “candidatura Profilo F1”, “272435426”,”Ricevuta protocollo” ed altri) diversi tra loro, replicati come link all’interno del corpo del messaggio e che portano tutti allo scaricamento di un file compresso .zip che, una volta scompattato, porterà all’installazione del malware.

Una volta installato il malware, viene scaricata e visualizzata un’immagine che mostra la mappa degli aumenti autostradali previsti: questo ha lo scopo di non destare sospetti nella vittima.

L’altra importante caratteristica di questa variante è che, oltre a cifrare dati, ruba anche le informazioni memorizzate in alcuni software molto comuni (es. Firefox, Thunderbird, Outlook, etc), come ad esempio le credenziali, che possono essere utilizzate successivamente per altri scopi illeciti.

L’ultimo aggiornamento CERT-PA

Nell’ultima nota, pubblicata il 4 novembre scorso, CERT-PA ha annunciato che i problemi legati a FTCODE non sembrano terminare.

Infatti, se per le precedenti varianti era possibile decriptare i dati (grazie ad un tool distribuito gratuitamente dai ricercatori di Certego) sfruttando una “fragilità” del malware, per l’ultima variante questo non è più possibile, perché tale fragilità del software è stata corretta.

 

I consigli pratici che diamo in questo caso sono sempre gli stessi, ovvero controllare attentamente oggetto, corpo e grammatica/sintassi del messaggio e soprattutto non scaricare mai o aprire gli allegati.

Per quel che riguarda la soluzione tecnica all’attacco, rimandiamo a tutte le linee guida diramate da CERT-PA nei suoi approfondimenti su FTCODE, che potete trovare nelle fonti.

Fonti: 1, 2