Campagna Ransomware FTCODE veicolata in Italia

02/10/2019

ftcode powershell ransomware

Osservato in Italia a partire da settembre 2019, il ransomware denominato FTCODE ha lo scopo di cifrare i file e, rinominarli con estensione .FTCODE, al fine di ottenere un riscatto dalle potenziali vittime.

Il CERT-PA ha avuto evidenza della campagna odierna grazie alle segnalazioni pervenute da parte di comuni e di PA centrali. Nel caso specifico il malware viene veicolato attraverso l’invio di mail, sia PEO che PEC precedentemente compromesse, contenenti in allegato un archivio compresso all’interno del quale è presente un file .doc con macro malevola. Di seguito uno screenshot della mail utilizzata per la campagna in oggetto.

Una volta estratto ed aperto il file doc presente all’interno dell’archivio zip, qualora le funzionalità macro venissero abilitate, il malware provvede a scaricare un file powershell leggermente offuscato del quale rendiamo disponibile una copia decodificata ai fini di ricerca.

Come riporta TgSoft il malware è stato veicolato nel mese di settembre grazie JasperLoader. Una analisi approfondita è stata pubblicata in data odierna da Certego.

Indicatori di compromissione

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr

Aggiornamento del 07 ottobre 2019

Nella giornata odierna è stata rilevata una variante della campagna Ransomware FTCODE. Il messaggio, ricevuto da una PA afferente alla Constituency del CERT-PA, si presenta in questo modo:

Anche in questo caso il messaggio contiene un documento Word (.doc) compresso in formato zip. L’esecuzione della macro avvia la catena di infezione che conduce al Ransomware FTCODE, così come dimostrato da questa analisi pubblicata dal ricercatore di sicurezza reecDeep.

Indicatori di compromissione

Si riportano di seguito i nuovi indicatori di compromissione:

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr