Tom's Hardware Italia
Sicurezza

Ftcode, il ransomware che arriva via PEC spacciandosi per un avviso di fatture in scadenza

Una nuova variante del ransomware Ftcode è stata identificata nelle scorse ore: il malware arriverebbe tramite PEC, sotto forma di falso avviso di fatture in scadenza.

Usare la Posta Elettronica Certificata è un’ottima abitudine per gestire correttamente i propri rapporti con la Pubblica Amministrazione, ma non ci dispensa dal prestare sempre la massima attenzione alla sicurezza, perché anche tramite PEC possiamo cadere vittime di malware e virus. È il caso di una nuova variante di Ftcode, un ransomware che arriva proprio tramite posta certificata, spacciandosi per avviso di fatture in scadenza. Inutile dire che aprire il file comporta l’infezione del computer, con conseguente blocco e cifratura di tutti i file. A scoprirlo è stato il Computer emergency response team della Pubblica amministrazione (Cert-Pa).

La nuova variante è assai simile a quella identificata a settembre scorso. Con essa infatti condivide sia il veicolo di infezione, ossia l’invio tramite PEC, sia alcuni meccanismi di funzionamento, come le tecniche adottate per persistere nel sistema infettato, il tipo di comunicazione adottato con il Command&Control, ovvero il server che appunto comanda e controlla le sue funzioni, il modo in cui sono eseguiti i comandi sulle macchine infettate e la tipologia di cifratura dei file.

Quest’ultima versione però presenta parecchie righe di codice in più. Non a caso infatti ha delle capacità “avanzate” come evitare un eventuale blocco dei processi grazie a un sistema che gli consente di agire solo una volta, per poi diventare inattivo dopo 30 minuti, o ancora generare un identificatore unico globale per identificare in maniera univoca i computer infettati. Diversa infine anche la modalità con cui viene generata la password che blocca l’accesso ai dati nel computer. La variante più nuova infatti utilizza Get-Random, mentre quella di settembre scorso impiegava Membership Generate Password, composta da 50 caratteri alfanumerici e inviata in chiaro al server di controllo.

Al di là dell’evoluzione tecnica del ransomware il consiglio è sempre lo stesso: massima attenzione alle operazioni che si svolgono e a ciò che si fa, non aprite mai un allegato a cuor leggero, anche se proviene da posta elettronica certificata. Leggete sempre con attenzione titolo e messaggio della mail, per valutare si sia qualcosa che vi riguardi davvero oppure no ma, in generale, se non è una comunicazione che stavate aspettando, sarebbe buona norma sempre verificare l’attendibilità di quanto ricevuto.