Nuova campagna di diffusione del ransomware FTCODE

Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.

FTCode in breve

FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile. 

La nuova campagna di diffusione

Il nuovo alert del CERT-PA risale ad appena due giorni fa: si segnala una nuova, massiva, campagna di diffusione sempre tramite email di spam. Le email presentano, come corpo del messaggio, un unico link: segnaliamo, come elemento utile all'individuazione delle email vettore, che tutti i link osservati nelle email analizzate dai ricercatori del CERT terminano con un punto esclamativo.

Fonte: https://www.cert-pa.it/

Il link punta su un archivio.ZIP che contiene, a sua volta, un file rinominato "archivos" e un file VBS il cui nome inizia per IT. Il primo file è una specie di "riempimento": si compone di byte nulli e serve solo a rendere più credibile la dimensione dello ZIP. Il file VBS è invece il responsabile dell'avvio della catena di infezione.

Indicatori di compromissione

Qui gli indicatori di compromissione relativi all'ultima campagna di diffusione >> ftcode_iocs.txt

C'è speranza?

Pare esserci un risvolto positivo in questa vicenda: alcuni ricercatori hanno pubblicato sul noto portale Github un tool per la risoluzione delle infezioni da ransomware FTCode. Il tool, che è ancora in fase di test, sfrutta quello che parrebbe essere un bug del ransomware: FTCode infatti comunica al proprio server di comando e controllo la password di criptazione di ogni utente, sia in forma criptata che in chiaro. Il tool quindi, intercettando le comunicazioni tra il ransomware sulla macchina infetta e il server di comando e controllo, individua la password necessaria ad invertire il meccanismo di criptazione e riportare in chiaro i file. 

Il tool, come detto, è un versione di test: ne stiamo monitorando l'andamento e compiendo alcuni test. Aggiorneremo prima possibile sull'efficacia di questo strumento. C'è però da aspettarsi che, a breve, il bug venga risolto dagli sviluppatori del ransomware: quando e se la password sarà comunicata solo in forma criptata al server di comando e controllo, tale meccanismo di intercettazione non avrà più alcuna efficacia rendendo impossibile la decriptazione di eventuali nuove versioni del ransomware. 

Per approfondire >> 

• Il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni
• Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie
• Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA