Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.
FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile.
La nuova campagna di diffusione
Fonte: https://www.cert-pa.it/ |
Il link punta su un archivio.ZIP che contiene, a sua volta, un file rinominato "archivos" e un file VBS il cui nome inizia per IT. Il primo file è una specie di "riempimento": si compone di byte nulli e serve solo a rendere più credibile la dimensione dello ZIP. Il file VBS è invece il responsabile dell'avvio della catena di infezione.
Indicatori di compromissione
Qui gli indicatori di compromissione relativi all'ultima campagna di diffusione >> ftcode_iocs.txt
C'è speranza?
Pare esserci un risvolto positivo in questa vicenda: alcuni ricercatori hanno pubblicato sul noto portale Github un tool per la risoluzione delle infezioni da ransomware FTCode. Il tool, che è ancora in fase di test, sfrutta quello che parrebbe essere un bug del ransomware: FTCode infatti comunica al proprio server di comando e controllo la password di criptazione di ogni utente, sia in forma criptata che in chiaro. Il tool quindi, intercettando le comunicazioni tra il ransomware sulla macchina infetta e il server di comando e controllo, individua la password necessaria ad invertire il meccanismo di criptazione e riportare in chiaro i file.
Il tool, come detto, è un versione di test: ne stiamo monitorando l'andamento e compiendo alcuni test. Aggiorneremo prima possibile sull'efficacia di questo strumento. C'è però da aspettarsi che, a breve, il bug venga risolto dagli sviluppatori del ransomware: quando e se la password sarà comunicata solo in forma criptata al server di comando e controllo, tale meccanismo di intercettazione non avrà più alcuna efficacia rendendo impossibile la decriptazione di eventuali nuove versioni del ransomware.
Per approfondire >>
Nessun commento:
Posta un commento