Esistono molti altri programmi, perché un malware è sempre un programma, di tipo ransomware che funzionano come FTCODE, ecco alcuni esempi: Badday, Galacti-Crypter e Local.
In genere, questi programmi dannosi bloccano i file e vengono utilizzati per ricattare le vittime (da qui il nome ransom che in inglese significa riscatto) costringendole a pagare.
Le differenze più comuni di solito sono il prezzo richiesto e l’algoritmo di crittografia (simmetrico o asimmetrico) che viene utilizzato per crittografare i file.
Di norma, è impossibile decrittografare i file senza gli strumenti che possono essere forniti solo dai criminali informatici che hanno progettato il ransomware.
Fondamentalmente, le vittime sono incoraggiate a pagare dai cyber criminali. Tuttavia, non è consigliabile farlo perché potrebbero non fornire software e chiave di decrittazione. In altre parole, esiste un’alta possibilità che le persone che pagheranno questi criminali informatici verranno ulteriormente truffate pagando inutilmente.
L’unica strategia è la prevenzione, l’unico modo per evitare di dover subire un riscatto è ripristinarli da un backup creato, strategia che tratteremo in seguito.
Il ransomware FTCODE, in particolare, rinomina i file crittografati aggiungendo l’estensione “.FTCODE” ai loro nomi di file, ad esempio, rinomina un file chiamato “1.docx” in “1. docx.FTCODE” e così via. Inoltre, FTCODE crea un file denominato “READ_ME_NOW.htm” che contiene le istruzioni su come pagare un riscatto. (la videata che appare vi ammonisce di pagare)
Vediamo ora come ci si “infetta” da FTCODE: dalle PEC di aziende e pubbliche amministrazioni italiane, questa volta nascondendosi dietro una finta fattura TIM e rubando dati riservati. Rispetto alle vecchie versioni, FTCODE non si diffonde più mediante documenti DOC contenenti una macro malevola, nell’attuale campagna di malspam, il malware viene infatti veicolato mediante e-mail PEC malevoli contenenti un unico link che richiama il testo dell’oggetto di una precedente conversazione con il mittente.
Cliccando sul collegamento presente nel messaggio di posta elettronica certificata, l’ignara vittima non fa altro che scaricare un file ZIP al cui interno i criminal hacker hanno archiviato un file VBS. FTCODE scarica, poi, e visualizza alla vittima un’immagine che riproduce una vera e propria fattura telefonica TIM.
Rispetto alle prime varianti del ransomware già individuate il 2 e il 10 ottobre scorsi, i criminal hacker hanno perfezionato il codice malevolo di FTCODE per impedire l’individuazione in chiaro della chiave di cifratura dei file e quindi lo sblocco dei contenuti archiviati sull’hard disk delle vittime.
Subito dopo l’installazione sulla macchina target, infatti, FTCODE esegue alcune semplici operazioni ed inizia subito a estrapolare dati personali della vittima, comprese le sue password.
Per difendersi dal ransomware come FTCODE, inoltre, è utile ricordare che le tecniche usate dai criminal hacker per ingannare le loro potenziali vittime e indurle ad aprire gli allegati infetti (diffusi, nel caso del ransomware FTCODE, mediante l’invio di PEC già compromesse) sono sempre ben studiate e adattate di volta in volta alle realtà pubbliche o private che si vogliono colpire. È quindi molto facile cadere nella loro trappola.
Aggiungiamo che qualsiasi antivirus è spesso inerme davanti alla Vostra decisione di aprire un file.
Per prevenire un possibile attacco, è sufficiente seguire alcune semplici regole di sicurezza informatica:
Innanzitutto, è importante che le aziende si appoggino a veri esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione. Il malspam è una minaccia ormai molto diffusa e la mail è oggi il veicolo di infezione predominante. I criminal hacker sfruttano la leggerezza e la distrazione degli utenti nell’aprire e-mail e i suoi allegati. Non c’è spazio per i tecnici informatici improvvisati.
Contrastare il fenomeno dotandosi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati. Firewall, ma anche Vlan e VPN per i collegamenti.
Formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. Soprattutto nei casi in cui ad essere presi di mira dal malspam sono gli indirizzi PEC di uso aziendale, è molto importante investire sulla security non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.
Banalmente prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
Sicuramente Un backup aziendale ridondante. Ce lo impone il GDPR, ma è l’unica attività vera di contrasto una volta accertato che si è stati attaccati da qualsiasi programma malevolo. Vogliamo essere ancora più precisi ed il backup dovrà avvenire in FTP su server preferibilmente LINUX.
A cura di Giuseppe Jera