mercoledì 27 maggio 2020

Italia sotto attacco: il ransomware [F]Unicorn si diffonde camuffandosi da app di contact tracing Immuni


E' stato individuato un nuovo ransomware, rinominato [F]Unicorn, che sta colpendo esclusivamente utenti italiani: l'attacco inizia con una email che sembra inviata dalla Federazione Ordini farmacisti italiani e cerca di convincere gli utenti a scaricare la versione beta dell'app Immuni, scelta dal governo italiano per il contact tracing dei contagi Covid. 

La campagna di attacco è stata individuata dal CERT e dall'Agenzia per l'Italia Digitale, segnalata poi tramite specifico alert. Un campione delle email fake è visibile sotto:

Fonte: Dottomarc.it


Il CERT-AgID ha analizzato non solo il ransomware, ma anche le tecniche di ingegneria sociale  usate dagli attaccanti per convincere le vittime a scaricare e installare il ransomware. L'email parla del rilascio di una versione beta dell'app Immuni riservata a medici, farmacisti, enti coinvolti nella sanità pubblica, università e centri di ricerca ecc... che
Per rendere ancora più credibile l'email, gli attaccanti non solo impersonano la Federazione degli Ordini dei Famacisti, ma hanno anche registrato un sito web il cui nome dominio è estremamente simile a quello legittimo della Federazione: quello legittimo è fofi.it, mentre quello registrato dagli attaccanti sostituisce la "i" finale con una "l" rendendo molto difficile il riconoscimento del sito fake. 

Se un utente scarica l'eseguibile indicato in email, visualizza anzitutto una dashboard fake contenente informazioni riguardanti i contagi: i dati sembrano raccolti dal Center for System Scienze and Engineering della Johns Hopkins University

Fonte: bleepingcomputer.com


Mentre l'utente è impegnato a visualizzare la mappa, dettagliatissima e carica di dati, il ransomware si attiva e [F]Unicorn avvia la criptazione del sistema. Stando all'analisi del CERT-AgID, il malware esegue verifiche sulle cartelle Desktop, Link, Contatti, Documenti, Download, Foto, Musica, OneDrive, Giochi Salvati, Preferiti, Ricerche, Video in cerca dei seguenti formati file da criptare: 

.Txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv,. py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb, .ico, .pas , .db, .torrent 

Sotto, un esempio di file criptati

Fonte: bleepingcomputer.com


Solo al termine della criptazione l'utente realizza di aver subito l'infezione ransomware, quando visualizza una nota di riscatto scritta in italiano nella quale si richiedono 300 euro di riscatto entro 3 giorni, pena l'irrecuperabilità dei dati. Sotto è visualizzabile la stramba richiesta di riscatto:


Ad ora non esistono tool in grado di decriptare questo ransomware, ma le analisi del CERT-AgID sembrano aver rilevato che [F]Unicorn invii la password per i file criptati in chiaro: analizzando i log del traffico dovrebbe quindi essere recuperabile. 

E' molto probabile che l'attaccante sia un novizio che ha copiato codice ransomware pre esistente, in dettaglio il ransomware Hidden Tear. Non sarebbe comunque la prima volta: anche FTCode, altro ransomware che vide una distribuzione specifica contro l'Italia pochi mesi fa, aveva lo stesso bug nella prima versione, inviando in chiaro la chiave necessaria alla criptazione.

Inoltre l'email di contatto indicata nel riscatto sembra non essere valida, quindi non è possibile inviare agli attaccanti alcuna prova di effettuato pagamento: un altro motivo per non pagare il riscatto. 

Chi avesse subito questa infezione può valutare di contattare il nostro servizio di decriptazione ransomware decryptolocker.it: avviseremo non appena sarà disponibile una soluzione per questa infezione.

Aggiornamento: 
Il sito web fake non risulta più raggiungibile dal 25 Maggio scorso, spiega lo CSIRT: la campagna di diffusione può quindi ritenersi conclusa. 

Nessun commento:

Posta un commento