Il ransomware FBIRAS tenta vecchi trucchi di ingegneria sociale

Il nostro team di ricerca ha scoperto il ransomware FBIRAS durante l'analisi di nuovi campioni di malware. Questo malware crittografa i dati e richiede il pagamento di un riscatto per la decrittazione.

Durante i nostri test, abbiamo osservato che il ransomware crittografava i file e aggiungeva l'estensione ".FBIRAS" ai nomi dei file. Ad esempio, un file originariamente denominato "1.jpg" veniva visualizzato come "1.jpg.FBIRAS" e talvolta l'estensione veniva duplicata, risultando in nomi di file come "1.jpg.FBIRAS.FBIRAS".

Una volta completata la crittografia, è stata generata una richiesta di riscatto denominata "Readme.txt". In questa nota, gli autori del reato si identificano falsamente come "forze dell'ordine" e tentano di ingannare le vittime facendole credere che l'infezione sia una conseguenza di violazioni della legge informatica.

La richiesta di riscatto si rivolgeva alla vittima come un "contribuente" e spiegava che i suoi file erano stati crittografati a causa di presunte violazioni della legge informatica. Alle vittime viene chiesto di contattare i criminali informatici, fingendosi "forze dell'ordine", di pagare una "multa" in cambio del ripristino dell'accesso ai propri file. Il rifiuto di soddisfare le richieste comporta multe più elevate e perdita permanente di dati. La nota mette inoltre in guardia contro la manomissione dei file o il tentativo di rimuovere il ransomware, poiché renderebbe i dati irrecuperabili.

Va sottolineato che questo attacco ransomware ovviamente non ha alcuna affiliazione con le legittime forze dell’ordine.

La nota di riscatto di FBIRAS fa un debole tentativo di sembrare legittima

Il testo completo della richiesta di riscatto dell'FBIRAS è il seguente:

Attention Tax payer:

All Your files have been locked with ransomware by law enforcement for violating cyber laws. All of your important documents, photos, and videos have been encrypted and cannot be accessed without a decryption key. This is a serious offense and you must pay a fine to unlock your files.

To unlock your files, follow these instructions:

1. Contact us on telegram = @Lawinfo19
2. We will tell about you problem
3. You need us to pay a amount for your criminal activity
4. Use the decryption key to unlock your files.

If you fail to comply with these instructions, the fine will increase and your files will be permanently deleted.

Do not attempt to remove the ransomware or tamper with your files. Any attempts to do so will result in the permanent loss of your data.

We understand the inconvenience this may cause, but it is necessary to ensure that cyber laws are not violated. We apologize for any inconvenience and hope to resolve this matter as soon as possible.

Sincerely,

Law Enforcement

Come può il ransomware entrare nel tuo sistema?

Il ransomware può infiltrarsi in un sistema attraverso vari mezzi, tra cui:

E-mail di phishing: i criminali informatici spesso distribuiscono ransomware tramite e-mail di phishing contenenti allegati o collegamenti dannosi. Queste e-mail possono apparire legittime e invogliare i destinatari ad aprire allegati o fare clic su collegamenti, che quindi scaricano ed eseguono il ransomware nel sistema.

Siti Web dannosi: visitare siti Web compromessi o dannosi può esporre gli utenti al ransomware. Questi siti possono contenere kit di exploit che scaricano e installano automaticamente ransomware sui sistemi dei visitatori attraverso vulnerabilità nei loro browser Web o plug-in.

Malvertising: i criminali informatici possono inserire codice dannoso negli annunci pubblicitari online (malvertising) che, se cliccati, reindirizzano gli utenti a siti Web che ospitano ransomware o avviano download automatici sui sistemi degli utenti.

Download drive-by: il ransomware può essere distribuito anche tramite download drive-by, in cui il malware viene automaticamente scaricato e installato nel sistema di un utente senza il suo consenso o la sua conoscenza quando visita siti Web compromessi.

Software senza patch: lo sfruttamento delle vulnerabilità di software obsoleto o senza patch è un metodo comune utilizzato dagli aggressori per distribuire ransomware. Sfruttano i punti deboli noti di sistemi operativi, applicazioni o plug-in per ottenere l'accesso ai sistemi ed eseguire ransomware.

Reti di condivisione file: il ransomware può diffondersi attraverso reti di condivisione file peer-to-peer (P2P), dove gli utenti scaricano inconsapevolmente file infetti o pacchetti software contenenti ransomware.