skip to Main Content

Cybercrime, la campagna FTCODE che prende di mira l’Italia si “incattivisce”

Cybercrime, La Campagna FTCODE Che Prende Di Mira L’Italia Si “incattivisce”

Il CERT-PA: La nuova campagna del cybercrime via PEC per veicolare il malware FTCODE in Italia diventa più aggressiva. Gli autori del ransomware stanno diffondendo una nuova variante che non permette più di individuare la chiave di cifratura

La nuova campagna del cybercrime via PEC per veicolare il malware FTCODE in Italia diventa più aggressiva. Gli esperti di cyber security del CERT-PA, che già nelle scorse settimane avevano rilevato l’uso del ransomware per colpire strutture della pubblica amministrazione o caselle di aziende e professionisti, hanno rilevato che gli autori del codice malevoli stanno diffondendo una nuova variante. Questa, a differenza del passato, non permette più di usare le tracce lasciate in chiaro per individuare la chiave di cifratura e liberare i dati con l’ausilio di un decryptor. In particolare, esegue le seguenti operazioni attraverso codice PowerShell: Cifra la chiave prima di comunicarla al C&C, Genera un IV casuale per AES256 e un salt per l’algoritmo PBKDF1. Inoltre, continua ad attivare una serie di funzionalità di “info-stealer”. Lo scopo è catturare le credenziali immagazzinate nei comuni software quali FireFox, Chrome, Outlook, Internet Explorer e Thunderbird.

Gli esperti di cyber security: Questi attacchi cibernetici sono particolarmente insidiosi. Sfruttano caselle PEC mittenti sempre diverse e mai lo stesso oggetto del messaggio

Secondo gli esperti di cyber security, questa campagna FTCODE contro l’Italia è particolarmente insidiosa. Ciò in quanto sfrutta caselle PEC mittenti sempre diverse, oltre a innumerevoli oggetti del messaggio che fanno anche riferimento a comunicazioni pregresse. Non a caso, questi non sono un elemento caratteristico per identificare gli attacchi del cybercrime. Sono, comunque, da ritenere altamente sospetti tutti i messaggi PEC in cui l’oggetto è utilizzato anche nel corpo sotto forma di un link internet. Il collegamento, infatti, re-dirige la vittima verso fonti esterne dalle quali viene scaricato un documento archivio .zip contenete file con estensione .vbs, che poi attiva la catena d’infezione del ransomware. Il CERT-PA ha identificato già alcuni indicatori di compromissione (IoC), ma sta effettuando analisi aggiuntive sul malware e verifiche per trovarne altri, utili ad arginare e bloccare le infezioni.

Back To Top