L’interconnessione della Rete ha spesso portato alla ribalta virus che, nel loro ciclo vitale, prima che venissero “terminati”, finivano per colpire centinaia di migliaia di sistemi in tutto il mondo, spesso sottraendo dati o, di tanto in tanto, “arruolandoli” in vere e proprie botnet al servizio di attacchi hacker ben peggiori. Quello che, però, è emerso a partire dallo scorso weekend, ed attualmente ancora in corso, è un attacco informatico alquanto singolare, in quanto mirato precisamente verso le aziende italiane.
La scoperta del singolare evento è avvenuta grazie alla security house italiana Yoroi che, per l’appunto all’inizio dello scorso fine settimana, ha notato come diversi suoi clienti avessero ricevuto una mail, attribuita al ministero delle Finanze ma spedita, in realtà, da mittenti quali [email protected] e [email protected]. Nella missiva, intitolata “F24 Acconti-Codice Tributo 4034” o “Codici Tributo Acconti”, un testo piuttosto stringato ma, caso raro, decisamente corretto, accennava alla necessità di scaricare un modulo per gli adempimenti fiscali, ovvero l’F24, cliccando su un particolare link.
Quest’ultimo, anziché consentire il download di un allegato, collegava a dei server stranieri, ad esempio “239outdoors.com/themes5”, dai quali partiva il rilascio del file “1t.exe”: quest’ultimo, una volta installatosi in locale, faceva partire l’attacco vero e proprio del virus “TaxOlolo”, a quanto pare “imparentato” con un vecchio bankware russo, GootKit che, nel 2013, fece non pochi danni.
Anche in questo caso, la portata dell’attacco non è stata secondaria, né per gravità, né per estensione. Nel primo ambito, infatti, si registra il probabile furto di dati bancari (gli accessi all’home banking), per quanto TaxOlolo, restando in ascolto verso il suo server remoto di comando e controllo, potrebbe anche aver inviato altri dati personali, e inserito i computer in una botnet. In tema di numeri, invece, nei labs di Yoroi ipotizzano che possano esser stati colpiti oltre 80 soggetti, tutti italiani, tra cui alcune istituzioni (Camera dei Deputati e Ministero dell’Interno), amministrazioni locali (i comuni di Bologna e Brescia, le regioni Toscana, Veneto, e Basilicata, la provincia di Reggio Emilia), diverse banche (Fineco, Monte Paschi di Siena), importanti asset italiani (Trenitalia, Autostrade per l’Italia), compagnie telefoniche (Vodafone, Telecom, Wind, Fastweb, H3G), aziende (Costacrociere), etc.
Il tutto sarebbe partito da un server posto in Inghilterra, di proprietà della “Namecheap.com” che, però, è solita affittare i suoi servizi cloud facendosi pagare in Bitcoin (criptomoneta anonima), e celerebbe l’opera di qualcuno che conosca piuttosto bene l’anno fiscale italiano, visto il propagarsi delle mail citate a fine Gennaio, con le imminenti scadenze fiscali in calendario per Febbraio.
Gli antivirus, adeguatamente testati lo scorso fine settimana, attraverso il servizio “VirusTotal”, tranne un’eccezione, NON riconoscevano il virus in oggetto ma, nelle ultime ore, sarebbero iniziati i primi aggiornamenti delle definizioni virali idonee a neutralizzarlo. Nel frattempo, quindi, qualora si dovesse ricevere una mail simile a quella illustrata poc’anzi, il consiglio degli esperti è di cancellarla seduta stante, senza addentrarsi nel click del link in esso contenuto.