FuckUnicorn: un ransomware déguisé en application Immuni

(Pour David Lo Preté)
03/06/20

L'urgence sanitaire mondiale a créé de nombreuses opportunités pour propager des cyber-offensives. L'infrastructure sanitaire, compte tenu également des attaques perpétrées contre l'Organisation mondiale de la santé (OMS), s'est révélée être une cible sensible. L'Italie n'est pas à l'abri de ces attaques.

Le 25 mai, CERT-AgID a révélé l'existence d'un ransomware déguisé en application anti-Covid. Un chercheur de JAMESWT a découvert une campagne de malspam à travers laquelle les pirates informatiques "invitent" à télécharger le fichier IMMUNI.exe malveillant qui contient le ransomware Baise Licorne.

Dans l'e-mail, les citoyens sont invités à télécharger l'exécutable sur un site émulant celui du Fédération des ordres des pharmaciens italiens. Le domaine du site créé ad hoc est en fait "fofl", tandis que celui de la Fédération est "fofi", ce qui rend l'arnaque plus crédible.

Une fois ouvert, le ransomware ouvre un faux tableau de bord avec les résultats de la contamination Covid-19, émulation de celui créé par le Center for Systems science and Engineering (CSSE) de l'Université Johns Hopkins. En attendant, les fichiers disponibles sur l'ordinateur sont cryptés et renommés ".fuckunicornhtrhrtjrjy". Une fois cela fait, une note de rançon de 300 € payable en bitcoin apparaît en échange de la libération des données.

Le CERT-AgID a rapporté en détail le fonctionnement du ransomware. Il utilise l'algorithme AES CBC et un mot de passe généré aléatoirement qui est partagé avec le Command and Control (C&C) et accessible à http: // 116 [.] 203 [.] 210 [.] 127 / write.php. La recherche des fichiers se fait dans les dossiers:

  • Desktop

  • Liens

  • Contacts

  • DOCUMENTS

  • Télécharger

  • Photos

  • Musique

  • onedrive

  • Jeux enregistrés

  • Favoris

  • recherches

  • Vidéos

Et cela concerne les fichiers d'extension: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg ,. png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb , .ico, .pas, .db, .torrent "

CERT-AgID a communiqué que pour le moment aucune transaction n'a été enregistrée sur le compte de crypto-monnaie indiqué par la demande de rachat.
Les ransomwares, ainsi que les e-mails de phishing, sont de plus en plus utilisés par les pirates informatiques, car ce sont des outils faciles à utiliser.

Comment contrer ces attaques?

En 2016, le Centre européen de lutte contre la cybercriminalité d'Europol a lancé une initiative en collaboration avec le National High Tech Crime Unit de la police néerlandaise et McAfee pour aider les victimes à récupérer leurs données sans avoir à payer de criminels.

L'initiative, No More Ransom (RMN), vise également à prévenir les attaques en éduquant les utilisateurs sur d'éventuelles contre-mesures à adopter. En particulier, sur le site Web de l'initiative (https://www.nomoreransom.org/it/prevention-advice.html) les mesures suivantes sont indiquées:

  • Sauvegarde de vos données, "pour éviter qu'une infection par un rançongiciel ne détruise définitivement vos données" La meilleure chose à faire est de créer une sauvegarde à sauvegarder dans le cloud et une à sauvegarder physiquement.

  • Utilisez un logiciel antivirus robuste.

  • Gardez le logiciel à jour sur l'ordinateur, grâce à l'installation de nouvelles versions du système d'exploitation

  • N'ouvrez pas les pièces jointes des e-mails provenant d'étrangers

  • Autorisez l'option «Afficher les extensions de fichier» dans les paramètres de Windows, ce qui facilite la recherche de fichiers malveillants.

L'application IMMUNI a été et fait encore l'objet de grands débats sur les vulnérabilités potentielles en matière de protection des données. Cependant, avant même le lancement de l'application de suivi, les pirates ont déjà identifié des possibilités de profit illicite à la fois économiquement et d'un point de vue data.

Sitographie:

https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/

https://www.pcprofessionale.it/news/security/software-security/fuckunicorn-ransomware-italiano-app-anti-covid-19/

https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/no-more-ransom-do-you-need-help-unlocking-your-digital-life

https://www.nomoreransom.org/it/index.html

Images: web / CERT-AgID