Il CERT-PA: Nuova campagna del cybercrime in Italia: I criminali cibernetici cercano di diffondere il ransomware FTCODE tramite PEC. Inoltre, l’ultima variante del malware attiva una serie di funzionalità di “info-stealer”, che lo rendono doppiamente pericoloso

Il cybercrime ha lanciato una nuova campagna via PEC per veicolare il malware FTCODE in Italia. Lo hanno scoperto gli esperti di cyber security del CERT-PA, che già nelle scorse settimane avevano rilevato l’uso del codice malevolo per colpire strutture della pubblica amministrazione o caselle di aziende e professionisti. La peculiarità rilevata nell’ultima variante è che FTCODE, oltre agire come ransomware avviando la cifratura dei dati degli utenti, attiva una serie di funzionalità di “info-stealer”. In particolare tenta di catturare le credenziali immagazzinate nei comuni software quali FireFox, Chrome, Outlook, Internet Explorer e Thunderbird. Le nuove features forniscono un duplice vantaggio agli attaccanti. Da una parte, questi sono in grado di acquisire informazioni, che possono essere riutilizzate per scopi illeciti. Dall’altra possono trarre profitti immediati, grazie al riscatto pagato dalle vittime per sbloccare i dati cifrati dal ransomware. 

Gli esperti di cyber security: Questi attacchi cibernetici sono particolarmente insidiosi. Sfruttano caselle PEC mittenti sempre diverse e mai lo stesso oggetto del messaggio

Secondo gli esperti di cyber security, questa campagna FTCODE contro l’Italia è particolarmente insidiosa. Ciò in quanto sfrutta caselle PEC mittenti sempre diverse, oltre a innumerevoli oggetti del messaggio che fanno anche riferimento a comunicazioni pregresse. Non a caso, questi non sono un elemento caratteristico per identificare gli attacchi del cybercrime. Sono, comunque, da ritenere altamente sospetti tutti i messaggi PEC in cui l’oggetto è utilizzato anche nel corpo sotto forma di un link internet. Il collegamento, infatti, re-dirige la vittima verso fonti esterne dalle quali viene scaricato un documento archivio .zip contenete file con estensione .vbs, che poi attiva la catena d’infezione del ransomware. Il CERT-PA ha identificato già alcuni indicatori di compromissione (IoC), ma sta effettuando analisi aggiuntive sul malware e verifiche per trovarne altri, utili ad arginare e bloccare le infezioni.