Ransomware FTCODE sulle caselle di posta elettronica certificata (PEC)

Ne avevamo parlato appena qualche settimana fa: Attenzione agli attacchi phishing sulle caselle PEC degli ordini professionali. Le caselle di posta elettronica certificata sono sempre più bersagliate da tentativi di attacchi phishing e malware.
Molti utenti, infatti, ritengono che le PEC siano intrinsecamente più sicure rispetto alle altre caselle di posta e che il materiale ricevuto in queste mailbox sia verificato e attendibile a prescindere. Niente di più sbagliato.

Nell’ultimo periodo i possessori di caselle PEC vedono arrivare messaggi provenienti da contatti noti o, più spesso, completamente sconosciuti che invitano a visitare siti web malevoli, ad aprire allegati dannosi o a scaricare file altrettanto pericolosi.

L’ultima novità, confermata dal CERT-PA italiano, consiste nella ricezione sulle caselle PEC di email contenenti in allegato il ransomware FTCODE.
Il malware è contenuto all’interno di un file Zip e una volta in esecuzione sul sistema provvede a crittografare i file personali dell’utente cancellando le versioni originali. Ai file cifrati viene assegnata l’estensione .ftcode per poi richiedere un “riscatto” in denaro al fine dell’ottenimento della chiave di sblocco.
Spesso il file Zip contiene un documento Word o Excel presentato come una fattura: abilitando l’esecuzione delle macro, verrà attivata l’infezione.

Le email provengono da account PEC reali, evidentemente già compromessi.
L’italiana TgSoft ha pubblicato due aggiornamenti in merito alla diffusione del ransomware FTCODE via PEC (vedere qui e qui).

C’è da dire che le varianti con cui si presenta FTCODE non sono ad oggi automaticamente rilevate da tutti i motori di scansione antimalware (l’abbiamo appena verificato su VirusTotal inserendo gli hash di numerosi campioni differenti). È quindi bene essere consapevoli che eventuali allegati malevoli potrebbero passare inosservati ai controlli automatici e arrivare nelle mailbox degli utenti. Fondamentale, soprattutto in ambito business, servirsi di soluzioni centralizzate basate sull’analisi comportamentale e sull’intelligenza artificiale: vedere Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda e Sicurezza in azienda: le migliori soluzioni per la protezione degli endpoint.