CERT-PA ha pubblicato sul proprio portale una notizia di una nuova campagna di Ransomware che cifra i dati delle vittime trasformando i file e rinominandoli .FTCODE, campagna già confermata il 23 settembre dalla società TG Soft.

Riportiamo di seguito integralmente il comunicato del CERT-PA (2.10.2109)

“Osservato in Italia a partire da settembre 2019, il ransomware denominato FTCODE ha lo scopo di cifrare i file e, rinominarli con estensione .FTCODE, al fine di ottenere un riscatto dalle potenziali vittime.

Il CERT-PA ha avuto evidenza della campagna odierna grazie alle segnalazioni pervenute da parte di comuni e di PA centrali. Nel caso specifico il malware viene veicolato attraverso l’invio di mail, sia PEO che PEC precedentemente compromesse, contenenti in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola. Di seguito uno screenshot della mail utilizzata per la campagna in oggetto.

Una volta estratto ed aperto il file doc presente all’interno dell’archivio zip, qualora le funzionalità macro venissero abilitate, il malware provvede a scaricare un file powershell leggermente offuscato del quale rendiamo disponibile una copia decodificata ai fini di ricerca.”

https://www.cert-pa.it/notizie/campagna-ransomware-ftcode-veicolata-in-italia/

Come riporta TgSoft (la cui news è disponibile al presente link [link cliccabile]) il malware è stato veicolato nel mese di settembre grazie JasperLoader. Una analisi approfondita è stata pubblicata in data odierna da Certego.”

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr

Fonti:

  • CERT-PA
  • C.R.A.M. by TG Soft www.tgsoft.it

“Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all’informativa originale:[http://www.tgsoft.it/italy/news_archivio.asp?id=1024#]”

Aggiornamento (7.10.2019) Variante della campagna Ransomware

Una PA appartenente ha comunicato una variante del malware al CERT-PA che ha aggiornato la propria notizia.

 

https://www.cert-pa.it/notizie/campagna-ransomware-ftcode-veicolata-in-italia/

Il messaggio di posta elettronica infatti  potrebbe contenere un anche documento word (.doc) compresso la cui esecuzione della macro avvia il processo di contagio di FTCODE.

Per l’analisi si riporta lo studio di un ricercatore di sicurezza reecDeep. 

Fonte: reecDeep

 

 

Facebook
Facebook
Twitter
Visit Us
LinkedIn
YOUTUBE
YOUTUBE