Immuni è pericolosa anche quando non è lei…

L’app Immuni continua a far parlare di sé, nel bene ma soprattutto nel male. Questa volta il problema non è lei direttamente ma un attacco del cybercrime che, sfruttandone il nome e la visibilità, rischia di mettere in ginocchio le farmacie italiane.

tempo di lettura 5 minuti

Gli esperti di cyber security hanno, infatti, ricevuto una segnalazione di un attacco ransomware (tipo di malware che limita l’accesso del dispositivo che infetta) che potrebbe aver preso di mira proprio le farmacie, utilizzando un mix di tecniche di ingegneria sociale e criptazione per bloccare le attività commerciali in ambito medico.

Denominato Unicorn Ransomware, questo nuovo virus cerca di convincere l’utente a scaricare un file eseguibile e avviarlo sul proprio computer, con la promessa, appunto, di offrire in versione beta dell’app Immuni e così «avere dati di prima mano aggiornati in tempo reale inerenti le situazioni di contagio sul vostro territorio».

Ma come si svolge il processo nel dettaglio? L’attacco inizia con un’e-mail che sembra provenire dalla FOFI, la Federazione Ordini Farmacisti Italiani. Stando a quanto promesso dalla mail, tutte le farmacie, le università, i medici e le altre parti coinvolte nella lotta contro il coronavirus riceveranno una versione di prova dell’app Immuni per PC. Da notare già il fatto che l’app vera è prevista per iOS e Android, non per PC… Comunque, la mail promette la possibilità ottenere così informazioni sulla diffusione del virus.

Attenzione: come detto, per aumentare la veridicità del messaggio il mittente sembra essere Federazione Ordini Farmacisti Italiani ma, come vedremo, il dominio internet dei collegamenti all’interno del messaggio non è fofi.it bensì fofl.it (con L al posto di I che può facilmete trarre in inganno).
Ecco il testo della mail incriminata.

In rete, nelle ultime ore, stanno circolando e-mail e messaggi di avviso per mettere tutti in guardia dall’imminente pericolo: Infatti, i file malevolo, una volta scaricato ed eseguito, mostra una finta dashboard con i risultati della contaminazione globale causata dal coronavirus.

Intanto, però, il Fuckunicorn ransomware crittografa tutti i tipi di file. Parallelamente vengono cifrati i file presenti sul sistema Windows della vittima e rinominati assegnando l’estensione .fuckunicornhtrhrtjrjy”.

Infine viene mostrata la classica richiesta di “riscatto”, quantificata in 300 euro in bitcoin. Se si arriva alla maschera del riscatto in Bitcoin, tutti i dati del PC devono considerarsi persi.

Ecco il testo del messaggio che viene mostrato:
«La lunga serpe sul bastone di Asceplio si è ribellata, ed una nuova era sta per sopraggiungere! Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi. Sta a voi scegliere. Entro 3 giorni il pegno pagare dovrai o il fuoco di Prometeo cancellerà i vostri dati così come ha cancellato il potere degli Dei sugli uomini.  Il pegno è di solamente 300 euros, da pagare con i Bitcoin al seguente indirizzo 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ dopo che pagato avrai, una email mandarci dovrai. xxcte2664@protonmail.com il codice di transazione sarà la prova. Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo. Andare dalla polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà».

Nel frattempo anche lo sfondo del PC verrà modificato con questa immagine. Secondo il Cert-AgID del governo italiano, il ransomware genera una password casuale per crittografare i file. Questa password viene quindi inviata non crittografata al server degli aggressori. Analizzando il traffico di rete, le vittime potrebbero recuperare la password e decriptare i loro file gratuitamente, secondo Cert-AgID.

Dulcis in fundo, l’e-mail dei criminali indicata nella nota di riscatto è sbagliata. Questo impedirebbe un ipotetico contatto con la vittima, azzerando quindi la possibilità di comunicare una buona riuscita del pagamento e di conseguenza non offrendo la soluzione al blocco dei file.

Al momento il sito web degli aggressori è stato rimosso e questo potrebbe far credere che gli autori di questo virus che cripta i file siano criminali alle prime armi, con scarse conoscenze tecniche, ma allo stesso tempo nessun timore nel diffondere una minaccia che potrebbe avere un grande impatto a livello sociale.

Il codice del virus sembra essere un “copia-incolla” di altri ransomware già visti in precedenza. La diffusione per ora è stata scarsa e il dominio truffaldino, ospitato da server tedeschi, come detto, è stato subito posto in sospensione.

GIF
Articolo precedente

TgPop: Le GIF che ci spiano valgono 400 milioni di dollari

Prossimo articolo

Sindaco dei ricchi e povera Milano

Gli ultimi articoli di Blog