FuckUnicorn: ransomware disfrazado de una aplicación Immuni

(Para Davide Lo Prete)
03/06/20

La emergencia sanitaria mundial ha creado numerosas oportunidades para difundir las ciber ofensivas. La infraestructura de salud, considerando también los ataques perpetrados contra la Organización Mundial de la Salud (OMS), ha demostrado ser un objetivo sensible. Italia no ha sido inmune a estos ataques.

El 25 de mayo, CERT-AgID reveló la existencia de ransomware disfrazado como una aplicación anti-Covid. El investigador de JAMESWT descubrió una campaña de malspam a través de la cual los hackers "invitan" a descargar el archivo malicioso IMMUNI.exe que contiene el ransomware JoderUnicornio.

En el correo electrónico, se invita a los ciudadanos a descargar el archivo ejecutable en un sitio que emule el del Federación de Órdenes Farmacéuticas Italianas. El dominio del sitio creado ad hoc es, de hecho, "fofl", mientras que el de la Federación es "fofi", lo que hace que la estafa sea más creíble.

Una vez abierto, el ransomware abre un tablero falso con los resultados de la contaminación Covid-19, emulación de la creada por el Centro de Ciencia e Ingeniería de Sistemas (CSSE) de la Universidad Johns Hopkins. Mientras tanto, los archivos disponibles en la computadora están encriptados y renombrados a ".fuckunicornhtrhrtjrjy". Una vez hecho esto, aparece una nota de rescate de 300 € a pagar en bitcoin a cambio de liberar los datos.

El CERT-AgID informó en detalle el funcionamiento del ransomware. Utiliza el algoritmo AES CBC y una contraseña generada aleatoriamente que se comparte con el comando y control (C&C) y se puede acceder a ella en http: // 116 [.] 203 [.] 210 [.] 127 / write.php. La búsqueda de archivos tiene lugar en las carpetas:

  • Desktop

  • Links

  • Contactos

  • Documentos

  • Descargas

  • Imágenes

  • Música

  • onedrive

  • Partidas guardadas

  • Favoritos

  • Búsquedas

  • Videos

Y se refiere a los archivos de extensión: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg ,. png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb , .ico, .pas, .db, .torrent "

CERT-AgID ha comunicado que, por el momento, no se han registrado transacciones en la cuenta de criptomonedas indicada en la solicitud de reembolso.
El ransomware, junto con los correos electrónicos de phishing, son cada vez más utilizados por los piratas informáticos, ya que son herramientas fáciles de usar.

¿Cómo contrarrestar estos ataques?

En 2016, el Centro Europeo de Delitos Cibernéticos de Europol lanzó una iniciativa en colaboración con la Unidad Nacional de Delitos de Alta Tecnología de la policía holandesa y McAfee para ayudar a las víctimas a recuperar sus datos sin tener que pagar a los delincuentes.

La iniciativa, No más de Ransom (RMN), también tiene como objetivo prevenir ataques, educando a los usuarios sobre posibles contramedidas a tomar. En particular, en el sitio web de la iniciativa (https://www.nomoreransom.org/it/prevention-advice.html) se muestran las siguientes medidas:

  • Haga una copia de seguridad de sus datos, "para que una infección de ransomware no pueda destruir sus datos permanentemente". Lo mejor es crear una copia de seguridad para guardarla en la nube y otra para guardarla físicamente.

  • Use un software antivirus robusto.

  • Mantenga el software actualizado en la computadora, mediante la instalación de nuevas versiones del sistema operativo

  • No abra archivos adjuntos de correos electrónicos de extraños

  • Permita la opción "Mostrar extensiones de archivo" en la configuración de Windows, lo que facilita la búsqueda de archivos maliciosos.

La aplicación IMMUNI ha sido y sigue siendo objeto de un gran debate por posibles vulnerabilidades de protección de datos. Sin embargo, incluso antes del lanzamiento de la aplicación de seguimiento, los piratas informáticos ya han identificado posibles ganancias ilícitas, tanto económicamente como desde el punto de vista de los datos.

Sitografía:

https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/

https://www.pcprofessionale.it/news/security/software-security/fuckunicorn-ransomware-italiano-app-anti-covid-19/

https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/no-more-ransom-do-you-need-help-unlocking-your-digital-life

https://www.nomoreransom.org/it/index.html

Imágenes: web / CERT-AgID