In: Informatica & sicurezza

E' in corso un vero e proprio attacco hacker alle caselle PEC di aziende e professionisti, purtroppo le campagne in corso sono diverse 

1) attacco alle PEC avvocati 

Il virus si chiama FTCODE e perviene tramite un messaggio di Posta Elettronica Certificata che appare attendibile, soprattutto perché spesso sembra provenire da colleghi. Essi contiene un file con estensione *.doc che, attivato, preclude l'accesso a moltissime cartelle e files e attiva un file readme.txt contenente le istruzioni per pagare il riscatto ed ottenere la password per annullare gli effetti.
Tale malware sta destando molta preoccupazione tra i professionisti perché ancora non esiste un tool che consenta la rimozione e l'annullamento dei suoi effetti. Le procedure che consentono la rimozione, tuttavia, potrebbero danneggiare o rendere inutilizzabili i file interessati.

2) attacco alla PEC aziendale finte fatture da SDI

Circa 500 caselle pec compromesse, 265mila messaggi di phishing inviati in sette giorni, un testo di email clonato dal servizio pubblico e un sistema di tracciamento dei destinatari. Sono gli ingredienti della campagna di raggiro lanciata via posta elettronica certificata, per raccogliere informazioni dalle potenziali vittime. I destinatari vengono invitati in modo fraudolento a inviare a un indirizzo di posta sconosciuto le proprie comunicazioni con il sistema di interscambio, la struttura istituita dal Mef per la trasmissione delle fatture elettroniche verso l’amministrazione o privati.

L’allarme è stato lanciato nei giorni scorsi dall’Agenzia delle entrate e dal Computer emergengy response team Pubblica amministrazione (Cert-Pa), che lavora sotto l’egida dell’Agenzia per l’Italia digitale. I phisher avrebbero clonato una comunicazione pec lecita emessa a inizio ottobre da Sogei, società informatica controllata al 100% dal ministero dell’Economia e delle finanze, contestualmente al sistema di interscambio.
nome display del mittente corrisponde all’indirizzo pec di un iscritto a un ordine professionale, riportato anche nel campo “destinatario”, mentre il mittente effettivo è una casella pec di una società italiana. Il testo fa riferimento a un “nuovo indirizzo da utilizzare per inviare le prossime fatture al sistema di interscambio“, che coincide invece con l’account mittente compromesso. L’aggressore tenta così di farsi inviare tutte le eventuali fatture e raccoglie dati per elevare in futuro il livello di attacco.

nome display del mittente corrisponde all’indirizzo pec di un iscritto a un ordine professionale, riportato anche nel campo “destinatario”, mentre il mittente effettivo è una casella pec di una società italiana. Il testo fa riferimento a un “nuovo indirizzo da utilizzare per inviare le prossime fatture al sistema di interscambio“, che coincide invece con l’account mittente compromesso. L’aggressore tenta così di farsi inviare tutte le eventuali fatture e raccoglie dati per elevare in futuro il livello di attacco.

 

3) attacco alle PEc aziendali (con segnalazione di fatture scadute)

Il nuovo ransomware, inoltre, genera un identificatore unico globale (Guid), un numero pseudo-casuale che serve a identificare la vittima, rinominando i file con un’estensione casuale. La password che blocca l’accesso ai dati nel computer è generata tramite Get-Random a differenza della versione precedente che adoperava Membership.GeneratePassword. Questa password è di 50 caratteri alfanumerici e viene inviata in chiaro al C&C.

Entrambi i ransomware sfruttano la posta elettronica certificata per raggiungere le proprie vittime ingannandole con un messaggio che contiene in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola. Una volta scaricato e aperto il file malevolo, Ftcode, o la sua nuova versione, attacca la macchina criptandone i dati e chiedendo un riscatto alla vittima per decriptarli.

 

4) attacco mirato !

Purtroppo negli ultimi giorni stiamo assistendo a degli attacchi mirati

l'hacker riesce a forzare la password ed a leggere il contenuto di una  casella email PEC , legge e studia i messaggi contenuti, a questo punto risponde ad un vostro messaggio allegando una conferma d'ordine, un documento, una fattura) spacciandosi per il continuo di una trattativa commerciale o di un dialogo tra voi, aprendo l'allegato .ZIP troveremo un documento WORD .DOC , aprendolo vi chiederà di attivare LE MACRO, attivandole purtroppo autorizzate l'esecuzione del virus e la compromissione di tutti i vostri dati, cominciando (in modo subdolo e nascosto) dal server, dalle penne usb e dai backup ... l'estensione dei vostri file cambierà in : nomefile.pdf.exxxx numeri e lettere casuali.
Questo è il segnale che il vostro sistema è stato attaccato ed è compromesso !

il consiglio è di non aprire nessuna PEC sospetta, contattare il proprio tecnico IT di riferimento e confrontarsi con lui , visto che le varianti dei virus stanno cambiando tutte le notti , forzare l'aggiornamento manualmente dell'antivirus ( le case software antivirus di solito impiegano 12/24 ore circa per rilevare e pubblicare aggiornamenti sui nuovi virus) quindi sarebbe ben ritardare il più possibile l'apertura delle pec , per consentire agli antivirus di aggiornarsi

se malauguratamente avete aperto la pec sospetta:  spegnere subito il computer, scollegandolo dalla rete, scollegate lo strumento dei backup ed isolate il server 

se siete arrivati a questo punto è vitale avere dei backup validi e funzionanti .... invitiamo tutti alla massima attenzione ai backup che sono la vostra ultima linea di difesa !

Claudio Panagia 

PC Software

 

Visite: 991
­
Joomla 3 Templates by RSJoomla!