Un nuovo ransomware Made in Italy sta colpendo i computer degli utenti italiani. Si tratta di F**k Unicorn, appunto un ransomware che sfrutta la paura degli utenti per il Covid-19 per indurli a scaricare una finta app di contact tracing sui loro dispositivi. Una volta scaricata e aperta la falsa app (simile a Immuni), il dispositivo risulta infetto. Si tratta di un fenomeno di social engineering che sfrutta il nome della FOFI (Federazione Ordini farmacisti Italiani) per convincere le ignare vittime della sua validità.

Gli esperti di CERT-AgID hanno isolato un campione del malware grazie alla collaborazione  del ricercatore di sicurezza informatica JamesWT_MHT e lo hanno analizzato insieme alla relativa tecnica di social engineering. Gli utenti vengono inizialmente attirati con un’e-mail (phishing) in italiano, che informa che è disponibile una versione beta di Immuni per PC per combattere la diffusione del COVID-19. Analizzando il testo del messaggio, gli obiettivi principali sembrano essere farmacie, università, medici e altri enti che combattono il contagio del coronavirus. Gli hacker hanno persino clonato il sito Web della FOFI e registrato un nome di dominio simile all’originale (“fofl.it”, una “l” minuscola come ultimo carattere, facilmente confusa con la “i” minuscola usata nel nome del dominio legittimo). Il messaggio termina con collegamenti per il download e informazioni di contatto che combinano gli indirizzi e-mail dell’aggressore e della FOFI.

Quando viene eseguito, il malware mostra un pannello di controllo falso con informazioni COVID-19 presumibilmente ricavate dal Center for Systems Science and Engineering della Johns Hopkins University. Mentre gli utenti sono distratti dalla mappa, Unicorn inizia a crittografare i dati sul sistema. Secondo l’analisi pubblicata da CERT AgID, il malware aggredisce i file delle estensioni più diffuse (incluse .mp3, .iso, .rar, .avi ecc.) nei seguenti percorsi: /Desktop, /Collegamenti, /Contatti, /Documenti, /Download, /Immagini, /Musica, /OneDrive, /Giochi_salvati, /Preferiti, /Ricerche e /Video. I file crittografati con Unicorn ottengono una nuova estensione, non modificabile.

Gli utenti apprendono che i loro file sono stati bloccati attraverso una bizzarra notifica di riscatto scritta in italiano poetico, il che indica un autore italiano dietro questo ransomware. La nota di riscatto richiede il pagamento di 300€ in tre giorni, pena la cancellazione dei dati, attraverso un indirizzo bitcoin e uno email per la conferma della avvenuta transazione.

Questo il messaggio:

«La lunga serpe del bastone di Asclepio si è ribellata, e una nuova era sta per sopraggiungere!

Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi.

Sta a voi scegliere. Entro 3 giorni, il pegno pagare dovrai o il fuoco di Prometeo cancellerà i tuoi dati così come ha cancellato il potere degli dei sugli uomini.

Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo.

Andare dalla polizia o chiamare i tecnici a niente servirà, nessun essere umano aiutarti potrà».

Secondo CERT-AgID, la password per decrittare i file viene inviata in chiaro dagli hacker, quindi può essere recuperata sniffando il traffico di rete. Unicorn sembra essere opera di un aggressore alle prime armi, con scarse conoscenze tecniche, che ha usato il codice di un ransomware già noto. Secondo la loro analisi l’indirizzo e-mail nella nota di riscatto non sarebbe funzionante, quindi non sarebbe possibile inviare la prova dell’avvenuto pagamento. Motivo in più per non pagare alcun riscatto.

Tweet