La nuova variante di Ftcode, arriva proprio tramite posta certificata, spacciandosi per avviso di fatture in scadenza. Inutile dire che aprire il file comporta l’infezione del computer, con conseguente blocco e cifratura di tutti i file.
Il nuovo ransomware è assai simile a quella identificata a settembre scorso. Con essa infatti condivide sia il veicolo di infezione, ossia l’invio tramite PEC, sia alcuni meccanismi di funzionamento, come le tecniche adottate per persistere nel sistema infettato, il tipo di comunicazione adottato con il Command&Control, ovvero il server che appunto comanda e controlla le sue funzioni, il modo in cui sono eseguiti i comandi sulle macchine infettate e la tipologia di cifratura dei file.
Quest’ultima versione del ransomware ha delle capacità “avanzate” come evitare un eventuale blocco dei processi grazie a un sistema che gli consente di agire solo una volta, per poi diventare inattivo dopo 30 minuti. La variante nuova infatti utilizza Get-Random, mentre quella di settembre scorso impiegava Membership Generate Password, composta da 50 caratteri alfanumerici e inviata in chiaro al server di controllo.
Ai nostri clienti consigliamo:
– Massima attenzione alle operazioni che si svolgono e a ciò che si fa
– Non aprite mai un allegato a cuor leggero (anche se proviene da posta elettronica certificata)
– Leggete sempre con attenzione titolo e messaggio della mail
– Verificare l’attendibilità di quanto ricevuto
