Il Ransomware FTCODE è un malware che nelle ultime settimane ha preso di mira le email di migliaia di aziende italiane sfruttando uno canale di comunicazione apparentemente attendibile e sicuro quale la Pec.

FTCODE è un ransomware completamente basato su PowerShell. Viene distribuito tramite file di documenti dannosi che contengono macro o utilizzando VBScript per scaricare e avviare lo script PowerShell malevole. Il ransomaware FTCODE scansionerà un elenco specifico di estensioni di file e le crittograferà con l’algoritmo AES. Oltre a crittografare i file, ruberà anche dati sensibili dal computer della vittima come le credenziali di accesso dai browser web. In maniera simile al comportamento  degli ultimi ransomware è in grado di eleminare le shadow copies integrate a livello di sistema operativo, in modo da impedire alle vittime il recupero dei file cifrati.

Ransomware FTCode

Meccanismo di propagazione del ransomware

Tendenzialmente il meccanismo primario di propagazione del ransomware è quello di veicolare tramite una mail di phishing un file allegato, tipicamente in formato Word e richiedendo per l’apertura l’abilitazione delle Macro di Office (che per impostazioni di default sarebbero bloccate), come da immagine sottostante:

Ftcode protezione macro office

Quali danni provoca il ransomware FTCODE ?

Trattandosi di un Ransomware di ultima generazione la cui chiave di Decryption non è ancora nota, FTCODE è un ransomware non risolvibile: non esistono software o tools in grado di decrittare i file cifrati dal ransomware stesso.

Una volta aperto l’allegato all’interno della mail PEC, il cryptovirus FTCODE inizierà a cifrare i file locali e qualsiasi documento sia visibile tramite rete direttamente da quel PC.

Analisi del codice utilizzato da FTCode

Una volta che un utente esegue il documento dannoso o lo script VBS dannoso, verrà avviato lo script PowerShell per scaricare ed eseguire il ransomware FTCODE. Mentre lo script VBS è stato scritto codificato, lo screenshot seguente mostra l’output finale del comando PowerShell eseguito all’interno del malware.

Cmd ftcode

Successivamente sempre tramite powershell verrà attivata la componente di persistenza e l’attivazione del colloquio con il C&C Server, al fine di cifrare in maniera univoca i file letti dal ransomware stesso.

Cancellazione dei Backup da parte del ransomware

Il ransomware eseguirà l’eliminazione delle copie shadow del volume e disabiliterà la riparazione all’avvio automatico di Windows con il seguente comando, al fine di garantire la cancellazione che tutti i dati non possano essere facilmente ripristinati, tramite l’esecuzione dei seguenti comandi:

  • bcdedit /set bhcuhciv bootstatuspolicy ignoreallfailures
  • bcdedit /set bhcuhciv recoveryenabled no
  • wbadmin delete catalog -quiet
  • wbadmin delete systemstatebackup
  • wbadmin delete backup
  • vssadmin delete shadows /all /quiet

cancellazione shadow copy

Acquisizione password e informazioni sensibili

Oltre a eseguire la crittografia sui file, FTCODE cercherà di rubare anche informazioni sensibili come ad esempio le credenziali di accesso da diverse applicazioni e quindi invierà i dati rubati al server C&C. Il malware tenterà di rubare dati sia dal browser Web Firefox che dal client di posta elettronica Thunderbird. Queste due applicazioni, entrambe create da Mozilla, utilizzano un file denominato “logins.json” per memorizzare le informazioni di accesso salvate. Se un utente salva i propri dati di accesso a un sito Web, come il sito bancario, le informazioni di accesso verranno crittografate e archiviate qui.

Tuttavia, esistono numerosi strumenti che possono facilmente decrittografare le informazioni. Il malware cercherà di trovare questo file nelle seguenti posizioni:

  •  %APPDATA%\Mozilla\Firefox\Profiles\*.*
  •  %APPDATA%\ThunderBird\Profiles\*.*

Oltre a questi due programmi, il ransomware FTCode ricerca attraverso percorsi e chiavi del registro di acquisire credenziali salvate in Internet Explorer o in Outlook e una volta rilevate, provvederà ad inviarle al server di controllo degli hackers.

Affidati a specialisti della Cyber Security

Per lavorare in completa tranquillità, senza la paura di dover incappare in un ransomware FTCODE affidatevi ad un esperto fornitore di servizi di sicurezza informatica. E’ indispensabile pensare anche all’educazione in ambito sicurezza informatica per gli end-users, poichè saranno loro che riceveranno la mail di phishing e dovranno essere bravi a riconoscerla in modo da NON attivare il ransomware.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?