Nel momento in cui stiamo scrivendo è in corso un attacco informatico alle caselle PEC italiane: una variante del ransomware FTCODE, che aveva già colpito nel mese di settembre, sta imperversando e mettendo in pericolo reti aziendali e endpoint. Scopriamo insieme di che si tratta, come riconoscere questo malware e come minimizzare i rischi.
Variante del ransomware FTCODE
Un ransomware è un malware che cripta i dati di una rete aziendale o di un pc e ha come conseguenza la richiesta di un riscatto per lo sblocco dei file.
In questo caso si tratta di una variante del ransomware denominato FTCODE, che cifra i file e li rinomina con estensione .FTCODE, intimando inoltre il pagamento di un riscatto alle vittime.
E’ una variante perché mantiene numerosi comandi in comune con FTCODE, ma – purtroppo – inserisce alcune migliore che lo rendono ancora più efficace.
Un allarme autorevole, quello del CERT-PA
L’allarme è lanciato dal CERT-PA (“Computer Emergency Response Team Pubblica Amministrazione”), il team di emergenza governativo italiano operante all’interno dell’Agenzia per l’Italia Digitale, che ha lo scopo di identificare e registrare le segnalazioni di incidenti informatici e vulnerabilità dei software.
Come agisce FTCODE
Il malware viene veicolato attraverso l’invio di mail, sia ordinaria che certificata precedentemente compromesse, contenenti in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola.
Una volta estratto ed aperto il file doc presente all’interno dell’archivio .zip, qualora le funzionalità macro venissero abilitate, il malware provvede a scaricare un file powershell. L’esecuzione della macro avvia la catena di infezione che conduce al Ransomware FTCODE.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Come identificare il pericolo FTCODE
Il CERT-PA, oltre ad aver raccolto le segnalazioni, ha anche elencato degli indicatori di compromissione (IoC), utili per gli IT manager per individuare il codice del malware.
Per l’utente medio (il dipendente che apre posta elettronica certificata), i messaggi sono inizialmente arrivati da una casella PEC reale ma compromessa, quella del Responsabile dei lavori pubblici di Cassano allo Ionio (Cosenza). Va detto però che esistono appunto delle varianti, per cui risulta davvero difficile riconoscere il pericolo.
I consigli per difendersi
E’ necessario agire in due direzioni: dotarsi di strumenti di protezione di rete informatica ed endpoint sempre aggiornati, collegati a un Security Operation Center con operatori e analisti informatici che effettuano un monitoraggio dei pericoli 24 ore su 24, 365 giorni l’anno.
Ma è altrettanto importante lavorare alla cultura informatica dei dipendenti, perché spesso l’anello debole è quello umano, caratterizzato da comportamenti troppo superficiali che aprono le porte ai malware e agli hacker.
Ricordiamoci: la posta elettronica certificata è un ex porto sicuro
Gli ultimi anni hanno dimostrato che le PEC non sono molto più sicure delle mail tradizionali. Nonostante ciò, è credenza generale che la posta certificata sia esente da attacchi informatici. Errore: è vero che sono più rari, tuttavia si abbassa erroneamente l’attenzione e gli hacker, quando riescono ad attaccare, lo fanno con maggior efficacia poiché si ritiene affidabile qualsiasi messaggio arrivato alla casella certificata.
Interessato a una consulenza di sicurezza informatica per la tua azienda? Chiedi consigli a Noi Sicurezza:
CHIEDI INFORMAZIONI