I ricercatori di ESET Italia hanno rilevato negli ultimi giorni una distribuzione massiva di PEC pericolose che presentano degli allegati in grado di infettare il sistema con una minaccia ransomware.
Questa nuova forma di spam risulta particolarmente insidiosa proprio perché interessa il sistema di posta certificata, che per sua natura viene considerato molto più sicuro e affidabile dell’email tradizionali.
Solitamente le PEC vengono utilizzate per comunicazioni sensibili e spesso riservate, tanto da venir considerate l’unica soluzione informatica accettata per la corrispondenza dalla pubblica amministrazione e dagli enti governativi. Tale prerogativa fa sì che gli utenti si sentano più tranquilli nel considerare attendibili questi messaggi, portandoli ad eseguirne senza preoccupazioni i file allegati.
In questa specifica campagna creata ad hoc per l’Italia i cybercriminali stanno diffondendo delle PEC su larga scala riconducibili ad aziende “fantasma” in cui si fa riferimento a presunte fatture allegate in formato PDF.
L’apertura di questi file innesca una payload che infetta il sistema ospite con un pericoloso ransomware in grado di codificare tutti i documenti della vittima rendendoli di conseguenza inaccessibili, se non previo pagamento del cosiddetto “riscatto”
Di seguito riportiamo il tipico messaggio distribuito dai criminali a cui nella maggior parte dei casi viene allegato un file PDF infetto:
“OGGETTO: Emissione fattura SS059656
Buongiorno Allegata alla presente email Vi trasmettiamo copia PDF di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.
ESET Italia anzitutto consiglia di porre la massima attenzione anche ai messaggi PEC, di non aprire assolutamente il file “.pdf” o altri tipi di allegato se il mittente è sconosciuto o palesemente “falso”. Se al contrario lo si conoscesse, ma il contenuto della comunicazione risultasse sospetto o simile a quello appena riportato è opportuno chiedere direttamente conferma di quanto inviato.
Inoltre come in altri casi simili è necessario:
- Proteggere adeguatamente gli indirizzi email utilizzando una valida soluzione antimalware che integri un motore antispam;
- Cambiare, se non si è già provveduto a farlo, le password dei propri account creandone di complesse e abilitando dove possibile l’autenticazione a due fattori;
- Non utilizzare mai la stessa password per più servizi;
- Provvedere periodicamente al backup del sistema e in particolare dei documenti e dei file più importanti;
- Mantenere costantemente aggiornati il sistema operativo e la soluzione di sicurezza installata.
Buongiorno, con quale variante abbiamo a che fare?
Grazie.
Buongiorno, attualmente le segnalazioni ricevute dal nostro laboratorio riportano un’infezione da Filecoder.Sodinokibi, che non risulta al momento decodificabile.
Grazie… anche se in notevole ritardo. Mi ero perso il trend
*thread