FTCode, il ransomware via PEC in powershell

Il Ransomware FTCODE è un malware che nelle ultime settimane ha preso di mira le email di migliaia di aziende italiane sfruttando uno canale di comunicazione apparentemente attendibile e sicuro quale la Pec.

FTCODE è un ransomware completamente basato su PowerShell. Viene distribuito tramite file di documenti dannosi che contengono macro o utilizzando VBScript per scaricare e avviare lo script PowerShell malevole. Il ransomaware FTCODE scansionerà un elenco specifico di estensioni di file e le crittograferà con l’algoritmo AES. Oltre a crittografare i file, ruberà anche dati sensibili dal computer della vittima come le credenziali di accesso dai browser web. In maniera simile al comportamento degli ultimi ransomware è in grado di eleminare le shadow copies integrate a livello di sistema operativo, in modo da impedire alle vittime il recupero dei file cifrati.

Meccanismo di propagazione del ransomware

Tendenzialmente il meccanismo primario di propagazione del ransomware è quello di veicolare tramite una mail di phishing un file allegato, tipicamente in formato Word e richiedendo per l’apertura l’abilitazione delle Macro di Office (che per impostazioni di default sarebbero bloccate), come da immagine sottostante:

Quali danni provoca il ransomware FTCODE ?

Trattandosi di un Ransomware di ultima generazione la cui chiave di Decryption non è ancora nota, FTCODE è un ransomware non risolvibile: non esistono software o tools in grado di decrittare i file cifrati dal ransomware stesso.

Una volta aperto l’allegato all’interno della mail PEC, il cryptovirus FTCODE inizierà a cifrare i file locali e qualsiasi documento sia visibile tramite rete direttamente da quel PC.

Analisi del codice utilizzato da FTCode

Una volta che un utente esegue il documento dannoso o lo script VBS dannoso, verrà avviato lo script PowerShell per scaricare ed eseguire il ransomware FTCODE. Mentre lo script VBS è stato scritto codificato, lo screenshot seguente mostra l’output finale del comando PowerShell eseguito all’interno del malware.

Successivamente sempre tramite powershell verrà attivata la componente di persistenza e l’attivazione del colloquio con il C&C Server, al fine di cifrare in maniera univoca i file letti dal ransomware stesso.

Cancellazione dei Backup da parte del ransomware

Il ransomware eseguirà l’eliminazione delle copie shadow del volume e disabiliterà la riparazione all’avvio automatico di Windows con il seguente comando, al fine di garantire la cancellazione che tutti i dati non possano essere facilmente ripristinati, tramite l’esecuzione dei seguenti comandi:

bcdedit /set bhcuhciv bootstatuspolicy ignoreallfailures
bcdedit /set bhcuhciv recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete backup
vssadmin delete shadows /all /quiet

Acquisizione password e informazioni sensibili

Oltre a eseguire la crittografia sui file, FTCODE cercherà di rubare anche informazioni sensibili come ad esempio le credenziali di accesso da diverse applicazioni e quindi invierà i dati rubati al server C&C. Il malware tenterà di rubare dati sia dal browser Web Firefox che dal client di posta elettronica Thunderbird. Queste due applicazioni, entrambe create da Mozilla, utilizzano un file denominato “logins.json” per memorizzare le informazioni di accesso salvate. Se un utente salva i propri dati di accesso a un sito Web, come il sito bancario, le informazioni di accesso verranno crittografate e archiviate qui.

Tuttavia, esistono numerosi strumenti che possono facilmente decrittografare le informazioni. Il malware cercherà di trovare questo file nelle seguenti posizioni:

%APPDATA%\Mozilla\Firefox\Profiles\*.*

%APPDATA%\ThunderBird\Profiles\*.*

Oltre a questi due programmi, il ransomware FTCode ricerca attraverso percorsi e chiavi del registro di acquisire credenziali salvate in Internet Explorer o in Outlook e una volta rilevate, provvederà ad inviarle al server di controllo degli hackers.

Affidati a specialisti della Cyber Security

Per lavorare in completa tranquillità, senza la paura di dover incappare in un ransomware FTCODE affidatevi ad un esperto fornitore di servizi di sicurezza informatica. E’ indispensabile pensare anche all’educazione in ambito sicurezza informatica per gli end-users, poichè saranno loro che riceveranno la mail di phishing e dovranno essere bravi a riconoscerla in modo da NON attivare il ransomware.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

Contattaci

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Servizi

Sede Operativa

+39 0452456669

info@nexsys.it