Dalle informazioni dipende la nostra sicurezza!
Grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT, il CERT-AgID ha avuto evidenza della campagna di hacking che è stata diffusa per diffondere il ransomware denominato “FuckUnicorn”.
Sffruttando la notizia del rilascio del codice dell’App Immuni, i criminali hanno creato un dominio ad arte per ospitare il ransomware, IMMUNI.exe. Nel dominio fofI.it è stato creato un sito identico a quello della Federazione Ordini Farmacisti Italiani (FOFI.it).
Notare che il nome è del tutto simile ma non uguale, con la lettera “l” al posto della “i” (da fofi a fofl).
Il ransomware scaricabile dal sito fake è un eseguibile che, una volta eseguito, mostra una finta dashboard con i risultati della contaminazione Covid-19.
Dall’analisi del codice, eseguita dagli analisti del Cert-AgID, si evince che il ransomware cifra i file utilizzando l’algoritmo AES CBC e una password generata randomicamente che viene successivamente condivisa con il C&C insieme ad altre informazioni sulla macchina compromessa.
A questo punto i dati sono tutti criptati e vi viene chiesto il pagamento di un "riscatto" di soli € 300 per poterli sbloccare. L’indirizzo risulta però invalido, e il codice del ransomware sembra riciclato da malware già in circolazione come Hidden Tear.
Il Cert-AgID ha però verificato che la password utilizzata per cifrare i file è inviata in chiaro al C&C raggiungibile all’indirizzo indicato in “targetURL”. In pratica, analizzando i log del traffico di rete sarebbe possibile individuare la password utilizzata per cifrare i file e liberarli senza pagare alcun riscatto.
Se questo post ti è piaciuto, faccelo sapere!
Iscriviti alla newsletter
Categorie News
Galleria video
Tags
Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy
Responsabile Redazione: Luigi Duraccio
Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 Srl - Bieffe