È stata individuata una nuova variante di FTCODE, il ransomware che prende di mira le caselle di posta elettronica certificata (PEC) intestate ad aziende e pubbliche amministrazioni italiane.
Rispetto alle vecchie versioni, FTCODE non si diffonde più mediante documenti DOC contenenti una macro malevola: nell’attuale campagna di malspam individuata dagli analisti del CERT-PA, il malware viene infatti veicolato mediante e-mail PEC malevoli contenenti un unico link che richiama il testo dell’oggetto di una precedente conversazione con il mittente.
Cliccando sul collegamento presente nel messaggio di posta elettronica certificata, l’ignara vittima non fa altro che scaricare un file ZIP al cui interno i criminal hacker hanno archiviato un file VBS. Dalle analisi effettuate, l’archivio compresso è al momento ospitato su un account Dropbox e non è quindi escluso che l’indirizzo a cui punta il link malevolo possa essere modificato durante l’evolversi della campagna di malspam.
Per rendere credibile la comunicazione via PEC, nel momento in cui viene eseguito il file VBS la nuova variante del ransomware FTCODE scarica e visualizza alla vittima un’immagine che riproduce una vera e propria fattura telefonica TIM.
Ecco la finta fattura TIM usata dal ransomware FTCODE per rendere credibile la truffa ai danni delle sue potenziali vittime.
Indice degli argomenti
Ransomware FTCODE: non c’è modo di recuperare i file cifrati
Rispetto alle prime varianti del ransomware già individuate il 2 e il 10 ottobre scorsi, i criminal hacker hanno perfezionato il codice malevolo di FTCODE per impedire l’individuazione in chiaro della chiave di cifratura dei file e quindi lo sblocco dei contenuti archiviati sull’hard disk delle vittime mediante un apposito decryptor.
Subito dopo l’installazione sulla macchina target, infatti, FTCODE esegue alcune semplici operazioni usando codice PowerShell utile a cifrare la chiave di codifica dei file prima di comunicarla al server di comando e controllo (C&C) gestito dagli stessi criminal hacker.
Dopodiché, FTCODE inizia ad esfiltrare dati personali della vittima, comprese le sue password.
La nuova variante del ransomware FTCODE rappresenta dunque una seria minaccia per aziende, professionisti e pubbliche amministrazioni in quanto non c’è modo di recuperare i propri file una volta cifrati.
Ransomware FTCODE: i dettagli delle vecchie varianti
Come detto, già lo scorso 2 ottobre il ransomware FTCODE aveva iniziato a diffondersi mediante una finta PEC inviata dall’indirizzo di posta certificata del “responsabile settore lavori pubblici del comune di Cassano allo ionio” e diretta soprattutto a comuni e pubbliche amministrazioni.
In questa vecchia campagna di diffusione del malware, l’e-mail faceva riferimento ad una fattura scaduta e in allegato aveva un archivio compresso in formato ZIP contenente a sua volta un documento in formato DOC dotato di macro malevola.
Nel momento in cui l’ignaro utente estraeva e apriva il file DOC, abilitando contestualmente le funzionalità macro, non faceva altro che attivare il malware JasperLoader nascosto nel file WindowsIndexingService.js che in passato è stato utilizzato dai criminal hacker per mantenere attivo e aggiornato il malware GootKit e che ora serve loro per scaricare il file PowerShell leggermente offuscato utile per installare il ransomware FTCODE.
La variante successiva di FTCODE, individuata lo scorso 10 ottobre, aveva numerose parti di codice in comune con la precedente versione, in particolare per quel che riguarda la funzione usata dal malware per garantirsi la persistenza nel sistema target, quella per la comunicazione con il server di comando e controllo (C&C), quella per l’esecuzione di comandi PowerShell sulla macchina e quella per la cifratura del contenuto dei file.
Molto simile anche il codice necessario a gestire il ciclo per l’enumerazione dei file da cifrare. Così come riportato dal bollettino di sicurezza del CERT-PA, in questa nuova variante del ransomware FTCODE i criminal hacker hanno aggiunto alcune “migliorie”:
- il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti: questo evita possibili “vaccinazioni” o deadlock;
- FTCODE crea ora un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio e quindi potrebbe trattarsi di un bug);
- i file vengono ora rinominati con un’estensione casuale (i primi 6 caratteri di un GUID) e non più con .ftcode;
- la password è generata tramite Get-Random e non tramite Membership.GeneratePassword: è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C;
- la pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro;
- le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono cifrate;
- in caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al server C&C.
I consigli per difendersi
Il CERT-PA ha diffuso anche gli IoC dell’ultima variante del ransomware FTCODE, cioè gli indici di compromissione che possono tornare utili ai responsabili della sicurezza IT aziendale per individuare il codice malevolo del malware:
URL
- http://john.jzinky.com/r.php
- http://ride.rideswithoutsaddle.com/?need=5a5210f&vid=vb1&28023
- http://ride.rideswithoutsaddle.com/?need=e9791ad&vid=vb1&
- http://ride.rideswithoutsaddle.com/?need=5a5210f&vid=vb1&70714
- http://john.jzinky.com/
- http://dbi.willjohnson.net/?need=e9791ad&vid=vb1&
- http://jays.meganjohnson.net/
- https://www.dropbox.com/s/4lphgc75u21n5gu/invio_file_8_263ef39289cfd7ebd3770eac265864e3.zip?dl=1
- http://dbi.willjohnson.net/?need=5a5210f&vid=vb1&71998
- http://home.aphistoryonline.com/
SHA256
- d66a31ffa3db328f4caa23f2d340c15fcfd2f9712f7aa6bf3ae2ff09811de84e
- 0211ec937660c4c654c4dac2236e4ebb05c431cfa32e49b5c896ef6ea94a50d1
- cabae18d95a4c0b1caf8267ae141b2cdd140a1df427c344641a48ff86d1e4964
- 404219711c9d7e4d708ea65237eaf19b7f7f291c177a171b700056ed075be5a6
- de13c44a8bb737b9f31371c4db60db3cbc2411b8f9b2f558739c0ef536dde69b
MD5
- 4a92bc8cdf33e56c3302cd9c4e56423e
- 0fd97c3802382802112f4fabefdca617
- 331b1548293c1cc9f2c0946f50cf4412
- 1f0fb2d8877a156579d3dff8dfa6a5de
- 7b0da686f62de2253b092605500fd083
Domini
- ride.rideswithoutsaddle.com
- john.jzinky.com
- jays.meganjohnson.net
- home.aphistoryonline.com
- dbi.willjohnson.net
SHA1
- d3f2ae27c637950272ed8f43830e8e2fe8aeecba
- 2fac9b2ccd70266a3dbbc5e254b234f7b9dc5c86
- 33b222a807e87120c4a53f9e23c82195d3c59a5e
- a0cb7de5bc29c5523c7fba5d67b9efa91c9543c1
- 0c6f70672c1a35520a66d82fd5fe5ce13d302534
Per difendersi dal ransomware FTCODE, inoltre, è utile ricordare che le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.
Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica.
Innanzitutto, è importante che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.
Per contrastare il fenomeno è utile anche dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati.
Allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security awareness non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.
Valgono poi i consigli pratici sempre validi per difendersi dal malspam: prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
Articolo pubblicato lo scorso 10 ottobre 2019 e aggiornato in seguito all’individuazione di una nuova variante del ransomware FTCODE
