Rilevata variante del ransomware FTCODE

09/10/2019

ftcode malware ransomware

Il CERT-PA ha rilevato in data odierna una nuova variante del ransomware FTCODE indirizzata verso PEC italiane e veicolata attraverso l’invio di mail da caselle (per lo più PEC) precedentemente compromesse. Di seguito uno screenshot della mail utilizzata per la campagna in oggetto:

La variante presenta numerose parti di codice in comune con il ransomware FTCODE della precedente campagna, in particolare la funzione usata per la persistenza, quella per la comunicazione con il C&C, quella per l’esecuzione di comandi sulla macchina e quella per la cifratura del contenuto dei file. Altra struttura simile è il ciclo per l’enumerazione dei file da cifrare ma rispetto alla versione originale sono state introdotte alcune migliorie:

  • Il file di lock usato per garantire una singola istanza del malware è considerato non valido dopo 30 minuti. Questo evita possibili “vaccinazioni” o deadlock.
  • Crea un GUID univoco per macchina in un file di lavoro (ma sembra generarlo ad ogni avvio, forse un bug?)
  • I file sono rinominati con un’estensione casuale (i primi 6 caratteri di un GUID)
  • La password è generata tramite Get-Random e non tramite Membership.GeneratePassword. Essa è composta da 50 caratteri alfanumerici e viene sempre inviata in chiaro al C&C.
  • La pagina HTML con le istruzioni per pagare il riscatto è codificata in base64 anziché essere in chiaro.
  • Le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non sono cifrate.
  • In caso di errore durante la cifratura di un file, o durante l’enumerazione di questi, l’errore viene inviato al C&C.

Indicatori di compromissione

  • IoC (.txt) – Hash ed Url.
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr

Aggiornamento del 15 ottobre 2019

Si riportano di seguito i nuovi indicatori di compromissione:

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr

Aggiornamento del 16 ottobre 2019

Si riportano di seguito i nuovi indicatori di compromissione:

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr

Aggiornamento del 17 ottobre 2019

La campagna risulta ancora in corso e a differenza dei messaggi precedenti in cui il subject iniziava sempre con “Scan: …”, adesso utilizza un qualsiasi oggetto di conversazioni passate. Rimane invece il nome dell’allegato che corrisponde sempre al seguente pattern:

-> ScanXXXXXX.zip

–> Nuovo_documento_XX.doc  (dove X è un numero)

Si riportano di seguito i nuovi indicatori di compromissione:

  • IoC (.txt) – Hash
  • IoC (HASHr.txt) – Lista dei soli file hash da utilizzare in combinazione con lo strumento HASHr