Dopo le polemiche delle ultime settimane sui rischi privacy connessi all’utilizzo dell’app “Immuni”, Cert-AgID ha diffuso la notizia di un virus – questa volta informatico – che pare stia accompagnando il debutto ufficiale dell’app.
L’app Immuni – che a breve dovrebbe essere resa disponibile negli store di Google e Apple – sarebbe infatti stata utilizzata da alcuni cyber-criminali come pretesto per la diffusione di un ransomware denominato “FuckUnicorn”.
A rendere nota l’esistenza di questo virus è stato Cert-Agid (acronimo che sta per Computer Emergency Response Team, struttura operante all’interno dell’Agenzia per l’Italia Digitale – AgID – demandata alla sicurezza cibernetica) che, a sua volta, ne ha avuto evidenza grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT.
Ransomware: che cosa è, quanti tipi ne esistono e come si diffonde?
ll ransomware è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo elettronico (PC, tablet, smartphone, smart TV, ecc.) bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.
La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene minacciosamente comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo.
Vi sono due tipi principali di ransomware: i cryptor (che criptano i file contenuti nel dispositivo, rendendoli inaccessibili) e i blocker (che bloccano l’accesso al dispositivo).
Solitamente questo tipo di malware si diffonde soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica.
Come funziona il virus veicolato dalla finta App immuni?
Facendo leva sull’emergenza Covid-19 e sfruttando la notizia dell’imminente rilascio del codice dell’App Immuni sarebbe partita una campagna di e-mail malevole che invitano a scaricare un file che, in realtà, nasconde il ransomware.
Per rendere credibile il download, il file malevolo è stato ospitato su un sito creato ad arte per replicare i contenuti di quello della Federazione Ordini Farmacisti Italiani, il cui nome di dominio è FOFI.it; per clonare il sito ufficiale della “Fofi” i cyber-criminali hanno scelto un nome a dominio simile a quello reale, sostituendo alla lettera finale “i”una “l”, graficamente molto simile.
Il ransomware, scaricabile dal sito fake della Fofi è un eseguibile che è stato denominato “IMMUNI.exe” e che, una volta eseguito nel computer del malcapitato, mostra una finta dashboard con i risultati della contaminazione Covid-19 nel mondo.
Nel frattempo, il malware provvede a cifrare tutti i file presenti sul sistema Windows della vittima e a rinominarli assegnando ad essi l’estensione “.fuckunicornhtrhrtjrjy”.
Infine appare il classico file di testo con le istruzioni per il riscatto, con la richiesta di pagamento di € 300 – rigorosamente in bitcoin – per liberare i file cifrati.
Cosa si sa su questo virus?
Dall’analisi del codice, eseguita dagli analisti del Cert-AgID, si evince che questo ransomware cifra i file utilizzando l’algoritmo AES CBC e una password generata randomicamente che viene successivamente condivisa con il C&C, insieme ad altre informazioni sul dispositivo compromesso.
Quali file vengono colpiti e da dove sono prelevati?
Le estensioni dei file che vengono cifrate dal ransomware FuckUnicorn sarebbero le seguenti:.txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb, .ico, .pas, .db, .torrent.
Di esse il ransomware in questione effettua una ricerca a partire dalle seguenti cartelle del computer del malcapitato: Desktop, Links, Contacts, Documents, Download, Pictures, Music, OneDrive, Saved Games, Favorites, Searches e Videos.
Come risalire alla password usata per cifrare i file?
La password utilizzata per cifrare i file viene inviata in chiaro al C&C raggiungibile all’indirizzo indicato in “targetURL”.
In pratica, analizzando i log del traffico di rete sarebbe possibile – stando a quanto riportato nel comunicato – individuare la password utilizzata per cifrare i file e liberarli senza dover pagare alcun riscatto.
Fonti: Comunicato Cert-AgID del 25 maggio 2020 e approfondimento del Garante privacy “attenzione al ramsonware. Il programma che èrende in ostaggio il tuo dispositivo“.