VIA DEGLI OLMETTI, N 18
00060 FORMELLO (RM)
+39 06 9040661
[email protected]

FuckUnicorn, il ransomware che imita l’App Immuni

fuckunicorn immuni
by

Come era prevedibile, i cybercriminali hanno sfruttato il lancio sperimentale della App Immuni per sferrare un attacco ransomware di massa, che cripta i dati e chiede il riscatto in bitcoin. Come funziona e come evitare di cadere nella trappola.

FuckUnicorn, il ransomware che imita l’App Immuni

Si chiama FuckUnicorn il ransomware su cui Agid-Cert, la struttura del governo che si occupa di cybersicurezza, ha lanciato alcuni giorni fa l’allarme.
Sfruttando la diffusione in via sperimentale della App Immuni, il sistema di contact tracing dei contagi Covid19, FuckUnicorn viene veicolato da una mail per il download, appunto, di questa App.

Nuova App, nuovo virus (informatico)

Non appena è partita la sperimentazione nelle prime 4 regioni (Puglia, Liguria, Marche, Abruzzo), è simultaneamente partito questo nuovo cyber attacco.
Secondo gli esperti, non si tratterebbe di un malware particolarmente evoluto, per i motivi che illustriamo di seguito.
Tuttavia, la tempistica di rilascio del ransomware FuckUnicorn è stata decisiva per il suo successo; proprio alla vigilia del lancio ufficiale.

Come ci sono riusciti

Molti hanno scaricato la presunta “versione beta per pc” (inesistente, l’App nasce per i dispositivi mobile), fra cui diversi operatori del settore sanitario. Come?
Gli utenti hanno ricevuto una mail, con un link che apparentemente rimandava al sito del Fofi – Federazione Ordini Farmacisti Italiani – con l’invito a scaricare la App.
È stato creato un sito falso della Federazione, attraverso “… una tecnica omomorfa; i criminal hacker hanno registrato un dominio simile a quello reale, in cui è stata sostituita la lettera “i” con la lettera “elle” minuscola (da fofi a FofI)”.
Chi ha cliccato sul link, ha visualizzato una schermata con dati e grafici che mostrano l’andamento della pandemia nel mondo (quello originale è riportato nelle nostre fonti).

FuckUnicorn all’opera

Mentre la visualizzazione della dashboard con i dati del contagio monopolizza l’attenzione dell’utente, il ransomware FuckUnicorn lavora in background e cripta tutti i dati del dispositivo. Alla fine, appare il messaggio con cui viene chiesto un riscatto di 300 euro.

Riscatto che sarà inutile pagare, prima di tutto perché l’indirizzo mail dell’attaccante è falso, quindi non ci sarebbe modo di attestare l’avvenuto pagamento.
In secondo luogo, il Cert-Agid informa che:

In pratica, analizzando i log del traffico di rete sarebbe possibile individuare la password utilizzata per cifrare i file e liberarli senza pagare alcun riscatto

Sembrerebbe anche, dalle analisi condotte, che Fuckunicorn sia stato creato copiando parte del codice di un malware già noto.
Queste rilevazioni portano gli esperti a considerare che il malware non sia opera di un criminale particolarmente “esperto”; per quanto abbia fatto parecchi danni…

Pagare…non paga

Abbiamo spesso insistito sul fatto che pagare non è una buona idea.

Una recente indagine indipendente condotta da Sophos su 5000 IT Manager dislocati in 26 Paesi del mondo, tra cui l’Italia, ha spiegato molto bene perché non si dovrebbe pagare mai.
Al di là del fatto che raramente vengono restituiti i dati, pagare un riscatto è sempre antieconomico, poiché il ripristino delle informazioni ha comunque un costo.

La prevenzione, che può essere fatta in molti modi e non solo con la tecnologia, è la scelta migliore…e più economica!

Chi cade nella trappola

L’attacco ha fatto sicuramente leva sulla curiosità delle persone, ma anche sull’ansia indotta da questo periodo davvero critico.
Ci sono, però, altre cause, già evidenziate (si veda il nostro recente articolo sugli attacchi hacker che sfruttano l’emergenza del Coronavirus). Cade nella trappola:

chi non ha sistemi di protezione adeguati sui propri dispositivi
chi ignora che la App è destinata all’installazione solo su smartphone e tablet, non su pc
chi non legge con attenzione i mittenti delle mail ed i link che è invitato a cliccare

I consigli da seguire

Dalla Polizia Postale agli esperti di cybersecurity, tutti affermano che alcune semplici regole possono fare molto per tenere al sicuro le proprie informazioni:

• installare un buon antivirus o antimalware
• effettuare regolarmente il salvataggio dei dati presenti sui propri device
• fare attenzione alle e-mail “inattese” ed evitare di aprire file allegati o seguire link indicatigli
informarsi e formarsi (soprattutto in ambito lavorativo) per imparare a riconoscere le minacce ed evitare danni anche gravi.

Gli attacchi futuri

Ovviamente, il periodo è a dir poco favorevole alla proliferazione di questi attacchi.
Altri seguiranno questo e sfrutteranno prima di tutto le vulnerabilità umane (paura, ansia, curiosità), come abbiamo visto con FuckUnicorn.

Cosa possiamo fare noi

Se sei un imprenditore o un’azienda e stai cercando di capire come proteggere al meglio i tuoi dati, contattaci compilando il form e saremo lieti di spiegarti come farlo.

Dichiaro di aver preso visione dell'informativa sulla privacy e autorizzo il trattamento dei dati personali ai sensi degli artt. 13 e 23 del D.lgs. 196/2003 e successive modifiche – Codice in materia di protezione dei dati personali – e del Regolamento UE 679/2016

Letta l’informativa sul trattamento dei dati:

do il consenso al trattamento dei dati personali inerenti il servizio di comunicazione istituzionale GescaInforma
No
nego il consenso al trattamento dei dati personali inerenti il servizio di comunicazione istituzionale GescaInforma


Alcune delle fonti consultate

Cert-Agid
SecurityOpenLab
Cybersecurity360
ZeusNews
QuotidianoSanità
PuntoInformatico
JohnsHopkins University