image

Italiaanse apotheken doelwit van ransomware vermomd als corona-app

donderdag 28 mei 2020, 14:21 door Redactie, 0 reacties

Italiaanse apotheken, universiteiten, artsen en andere partijen die zich bezighouden met de bestrijding van het coronavirus zijn doelwit van een aanval geworden met ransomware die zich voordoet als de in ontwikkeling zijnde Italiaanse corona-app Immuni, zo laat de Italiaanse overheid weten.

De aanval begint met een e-mail die afkomstig lijkt van FOFI, de beroepsorganisatie van Italiaanse apothekers. Volgens het bericht ontvangen alle apotheken, universiteiten, artsen en andere partijen die zich bezighouden met de bestrijding van het coronavirus een testversie van de Immuni-app voor de pc. Via deze applicatie zou men inzicht kunnen krijgen in de verspreiding van het virus. Immuni is de naam van de smartphone-app die de Italiaanse overheid laat ontwikkelen en via bluetooth de contacten van gebruikers moet bijhouden.

De aanvallers liften mee op de naam van Immuni en claimen dat er ook een pc-versie wordt ontwikkeld. Deze "applicatie" is via een link in de e-mail te downloaden. Het domein dat de aanvallers gebruiken is op één letter na identiek aan het echte domein van FOFI. In plaats van een i wordt er een l gebruikt. Daarnaast is de website van de aanvallers een kopie van de echte website van de beroepsorganisatie. Zodra gebruikers het bestand downloaden en openen verschijnt er een zogenaamd dashboard dat een overzicht van coronabesmettingen geeft. In de achtergrond versleutelt de "Fuckunicorn-ransomware" allerlei bestanden.

Voor het ontsleutelen moeten slachtoffers 300 euro betalen. Volgens het Cert-AgID van de Italiaanse overheid genereert de ransomware een willekeurig wachtwoord voor het versleutelen van de bestanden. Dit wachtwoord wordt vervolgens onversleuteld naar de server van de aanvallers gestuurd. Door het netwerkverkeer te analyseren zouden slachtoffers het wachtwoord kunnen achterhalen en zo kosteloos hun bestanden ontsleutelen, aldus Cert-AgID. De website van de aanvallers is inmiddels uit de lucht gehaald.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.