Un'app falsa COVID-19 Contact Tracing nasconde Unicorn Ransomware
Di solito, puoi dire molto su un criminale informatico dai loro attacchi. I trucchi che usano spesso ci danno una buona idea di quanto sia sofisticato l'avversario, ma una recente campagna che distribuisce il ransomware Unicorn ha dimostrato che a volte l'aspetto può ingannare.
Table of Contents
Il ransomware Unicorn colpisce le farmacie italiane
L'attacco è stato rilevato per la prima volta da un ricercatore di sicurezza chiamato NickWT. Sembra mirare esattamente alle farmacie italiane e sta approfittando della crisi COVID-19 per indurre gli utenti a installare una varietà di ransomware relativamente nuova chiamata Unicorn.
Conosciuto anche come unicorno F ***, il malware sembra essere stato creato appositamente per lo scopo e sembra che l'attacco sia abbastanza grande da giustificare un avviso del Computer Emergency Response Team (CERT) italiano.
Gli hacker si sono superati quando si tratta di ingegneria sociale
Si inizia con una e-mail che pretende di provenire dalla Federazione Farmacista Italiana. Dice che la Federazione sta lanciando una versione beta di un'app per PC che fornisce dati in tempo reale sulla diffusione del nuovo coronavirus. C'è un link per il download e gli hacker hanno usato una tecnica chiamata typosquatting per rendere l'URL più convincente.
Il sito web della Federazione Farmacista Italiana è http://www.fofi.it/ e il file eseguibile è ospitato su hxxtp: //www.fofl.it (con una "L" minuscola anziché una "i"). Usando un dominio visivamente simile, la vittima ha meno probabilità di notare che qualcosa non va. Esistono ancora più tattiche per distogliere l'attenzione dall'attività dannosa.
Una volta avviato, il file dannoso visualizza una mappa con i dati che sembrano essere stati copiati dalla Johns Hopkins University. Non è affatto una nuova tattica, ma è quasi certo di distrarre la vittima mentre il ransomware sta crittografando i file del PC infetto.
Finora sembra che l'attacco sia stato lanciato da un hacker professionista che sa cosa stanno facendo. Quando gli esperti hanno analizzato il ransomware e hanno visto come funziona, si sono resi conto che l'attaccante probabilmente non è così sofisticato.
Il ransomware Unicorn non è una minaccia sofisticata
I ricercatori sospettano che l'attaccante sia italiano. C'è una netta mancanza di errori grammaticali nell'e-mail di phishing e alcuni artefatti lasciati nel codice suggeriscono che la persona che ha scritto il malware si chiama Leonardo.
Leonardo sembra essere un fan della mitologia greca. La nota di riscatto annuncia che il serpente nello staff di Asclepio è sconvolto e che sta per arrivare una nuova era. La crittografia dei file viene paragonata al fuoco di Prometeo e alla vittima viene detto che pagando un riscatto di € 300 (circa $ 330), hanno la possibilità di riscattarsi per "anni di peccati e abusi".
La nota di riscatto include un indirizzo bitcoin dove i soldi dovrebbero andare, e c'è anche un indirizzo e-mail che le vittime devono usare per entrare in contatto con gli hacker una volta che il riscatto è stato pagato. Un rapido controllo rivela che finora l'indirizzo bitcoin incluso nella nota di riscatto non ha registrato alcuna transazione, il che è altrettanto vero perché l'indirizzo e-mail degli hacker sembra essere non valido. Sembra che Leonardo (o chiunque sia seduto dall'altra parte del ransomware Unicorn) non abbia assolutamente intenzione di aiutarti a recuperare i tuoi file.
Per fortuna, non hai davvero bisogno del loro aiuto. Un'analisi del ransomware mostra che la password utilizzata per decrittografare i file viene inviata in testo normale e può essere recuperata dai registri di comunicazione.
I difetti nel ransomware Unicorn compensano in una certa misura le ingegnose tecniche di social engineering e rendono l'attacco un po 'meno pericoloso. La campagna non dovrebbe essere sottovalutata, però. In qualsiasi momento, gli aggressori possono passare a una varietà di ransomware più potente e causare ogni tipo di problema.
