L’emergenza sanitaria mondiale ha creato numerose occasioni per veicolare offensive cyber. L’infrastruttura sanitaria, visti anche gli attacchi perpetrati ai danni dell’Organizzazione Mondiale della Sanità (OMS), si è rivelata essere un obiettivo sensibile. L’Italia non è stata immune a questi attacchi.
Lo scorso 25 maggio il CERT-AgID ha rivelato l’esistenza di un ransomware mascherato da app anti-Covid. Il ricercatore JAMESWT ha scoperto una campagna di malspam attraverso cui gli hackers “invitano” a scaricare il file malevolo IMMUNI.exe che contiene il ransomware FuckUnicorn.
Nella mail i cittadini sono invitati a scaricare l’eseguibile su un sito emulazione di quello della Federazione Ordini Farmacisti Italiani. Il dominio del sito creato ad hoc è infatti “fofl”, mentre quello della Federazione è “fofi”, il che rende più credibile la truffa.
Una volta aperto, il ransomware apre una finta dashboard con i risultati della contaminazione Covid-19, emulazione di quella creata dal Center for Systems science and Engineering (CSSE) della Johns Hopkins University. Nel frattempo, i file disponibili sul computer vengono criptati e rinominati in “.fuckunicornhtrhrtjrjy”. Una volta fatto ciò, appare una richiesta di riscatto di 300€ pagabili in bitcoin, in cambio del rilascio dei dati.
Il CERT-AgID ha riportato nel dettaglio il funzionamento del ransomware. Esso utilizza l’algoritmo AES CBC e una password generata casualmente che viene condivisa con il comando e controllo (C&C) e raggiungibile all’indirizzo http://116[.]203[.]210[.]127/write.php. La ricerca di file avviene nelle cartelle:
-
Desktop
-
Links
-
Contacts
-
Documents
-
Downloads
-
Pictures
-
Music
-
OneDrive
-
SavedGames
-
Favorites
-
Searches
-
Videos
E riguarda i file di estensione: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb, .ico, .pas, .db, .torrent”
Il CERT-AgID ha comunicato che non si sono registrate, per il momento, transazioni sul conto di criptovalute indicato dalla richiesta di riscatto.
I ransomware, insieme alle mail di phishing, vengono sempre più utilizzati dai criminal hackers, poiché strumenti di facile utilizzo.
Come contrastare questi attacchi?
Nel 2016 l’European Cybercrime Centre dell’Europol ha lanciato un’iniziativa in collaborazione con la National High Tech Crime Unit della polizia olandese e McAfee, al fine di aiutare le vittime a recuperare i propri dati, senza dover pagare i criminali.
L’iniziativa, No More Ransom (NMR), ha anche lo scopo di prevenire gli attacchi, educando gli utenti sulle possibili contromisure da adottare. In particolare, sul sito dell’iniziativa (https://www.nomoreransom.org/it/prevention-advice.html) vengono riportate le seguenti misure:
-
Eseguire un back-up dei dati, “in modo da evitare che un’infezione da ransomware sia in grado di distruggere i vostri dati in modo definitivo” La cosa migliore è creare un back-up da salvare nel cloud e uno da salvare fisicamente.
-
Utilizzare un software antivirus robusto.
-
Mantenere aggiornato il software sul computer, attraverso l’installazione di nuove versioni del Sistema operativo
-
Non aprire gli allegati di e-mail di sconosciuti
-
Consentire l’opzione “Mostra estensioni file” nelle impostazioni Windows, che consente di individuare più facilmente i file malevoli.
L’app IMMUNI è stata ed è tuttora oggetto di grande dibattito per le potenziali vulnerabilità riguardanti la data protection. Tuttavia, ancor prima del lancio dell’applicazione di tracciamento, gli hackers hanno già individuato possibilità di guadagno illecito sia economico, sia dal punto di vista dei dati.
Sitografia:
https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/
https://www.nomoreransom.org/it/index.html
Immagini: web / CERT-AgID