Esistono molti altri programmi,
perché un malware è sempre un programma, di tipo ransomware che funzionano come
FTCODE, ecco alcuni esempi: Badday, Galacti-Crypter e Local.
In genere, questi programmi dannosi bloccano i file e vengono utilizzati per ricattare le vittime (da qui il nome ransom che in inglese significa riscatto) costringendole a pagare.
Le differenze più comuni di
solito sono il prezzo richiesto e l’algoritmo di crittografia (simmetrico o
asimmetrico) che viene utilizzato per crittografare i file.In genere, questi programmi dannosi bloccano i file e vengono utilizzati per ricattare le vittime (da qui il nome ransom che in inglese significa riscatto) costringendole a pagare.
Di norma, è impossibile
decrittografare i file senza gli strumenti che possono essere forniti solo dai
criminali informatici che hanno progettato il ransomware.
Fondamentalmente, le vittime sono
incoraggiate a pagare dai cyber criminali. Tuttavia, non è consigliabile farlo
perché potrebbero non fornire software e chiave di decrittazione. In altre
parole, esiste un’alta possibilità che le persone che pagheranno questi
criminali informatici verranno ulteriormente truffate pagando inutilmente.
L’unica strategia è la
prevenzione, l’unico modo per evitare di dover subire un riscatto è ripristinarli
da un backup creato, strategia che tratteremo in seguito.
Il ransomware FTCODE, in
particolare, rinomina i file crittografati aggiungendo l’estensione “.FTCODE”
ai loro nomi di file, ad esempio, rinomina un file chiamato “1.docx” in “1.
docx.FTCODE” e così via. Inoltre, FTCODE crea un file denominato
“READ_ME_NOW.htm” che contiene le istruzioni su come pagare un riscatto. (la
videata che appare vi ammonisce di pagare)
Vediamo ora come ci si “infetta” da FTCODE: dalle PEC di aziende e pubbliche
amministrazioni italiane, questa volta nascondendosi dietro una finta fattura
TIM e rubando dati riservati. Rispetto alle vecchie versioni, FTCODE non si
diffonde più mediante documenti DOC contenenti una macro malevola, nell’attuale
campagna di malspam, il malware viene infatti veicolato mediante e-mail PEC
malevoli contenenti un unico link che richiama il testo dell’oggetto di una
precedente conversazione con il mittente.
Cliccando sul collegamento presente nel messaggio di posta
elettronica certificata, l’ignara vittima non fa altro che scaricare un file
ZIP al cui interno i criminal hacker hanno archiviato un file VBS. FTCODE
scarica, poi, e visualizza alla vittima un’immagine che riproduce una vera e
propria fattura telefonica TIM.
Rispetto alle prime varianti del ransomware già individuate
il 2 e il 10 ottobre scorsi, i criminal hacker hanno perfezionato il codice
malevolo di FTCODE per impedire l’individuazione in chiaro della chiave di
cifratura dei file e quindi lo sblocco dei contenuti archiviati sull’hard disk
delle vittime.
Subito dopo l’installazione sulla macchina target, infatti,
FTCODE esegue alcune semplici operazioni ed inizia subito a estrapolare dati
personali della vittima, comprese le sue password.
Per difendersi dal ransomware come FTCODE, inoltre, è utile
ricordare che le tecniche usate dai criminal hacker per ingannare le loro
potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso
del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben
studiate e adattate di volta in volta alle realtà pubbliche o private che si
vogliono colpire. È quindi molto facile cadere nella loro trappola.
Aggiungiamo che qualsiasi antivirus è spesso inerme davanti
alla Vostra decisione di aprire un file.
Per prevenire un possibile attacco, è sufficiente seguire
alcune semplici regole di sicurezza informatica:
Innanzitutto, è importante che le aziende si
appoggino a veri esperti che salvaguardi la sicurezza del perimetro cyber
dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è
oggi il veicolo di infezione predominante. I criminal hacker sfruttano la
leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati.
Non c’è spazio per i tecnici informatici improvvisati.
Contrastare il fenomeno dotandosi di idonei
strumenti di protezione della rete informatica, per rilevamento e analisi del
traffico, mantenendoli sempre aggiornati. Firewall, ma anche Vlan e VPN per i
collegamenti.
Formazione del personale, sensibilizzando sulle
più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa
fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di
mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante
investire sulla security non solo dei dipendenti ma anche di tutti gli “utenti
aziendali” e quindi anche clienti e fornitori esterni.
Banalmente prestare sempre la massima cautela
quando si ricevono e-mail normali o di PEC di provenienza sospetta o da
mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di
documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione
delle macro.
Sicuramente Un backup aziendale ridondante. Ce
lo impone il GDPR, ma è l’unica attività vera di contrasto una volta accertato
che si è stati attaccati da qualsiasi programma malevolo. Vogliamo essere
ancora più precisi ed il backup dovrà avvenire in FTP su server preferibilmente
LINUX.
A cura di Giuseppe Jera
Nessun commento:
Posta un commento