[Italie] Une fausse application de traçage de contacts cache un nouveau rançongiciel

Dans le cadre de la lutte contre le COVID-19, plusieurs gouvernements en Europe ont décidé de proposer à leurs concitoyens une application de traçage de contacts. Leur but est d’inciter les personnes ayant été en contact avec une personne testée positive à être prise en charge le plus rapidement possible. 

En rapport avec ces applications, un nouveau rançongiciel nommé [F]Unicorn a été découvert. Il usurperait l’identité de l’application du gouvernement italien, Immuni, et de la Fédération des Pharmacies Italiennes (FOFI) afin de tromper des utilisateurs et les inciter à télécharger le maliciel à partir d’un mail. 

Deux points importants sont à noter concernant ce rançongiciel. Premièrement, le mail de contact donné par les attaquants est invalide. Il est donc impossible de les contacter afin de récupérer la clé de chiffrement. Cependant, le CERT-AgID a aussi découvert que le mot de passe reçu par les opérateurs de [F]Unicorn suite à un chiffrement était envoyé en clair. Il est donc possible pour une victime de récupérer ce mot de passe en utilisant les journaux d'événements du trafic réseau et ainsi déchiffrer ses données sans avoir à payer de rançon.

Selon un groupe de chercheurs, les opérateurs du rançongiciel seraient des novices ayant des connaissances techniques limitées. Le code de [F]Unicorn est en grande partie un copier-coller d’autres rançongiciels observés dans la nature. Le domaine utilisé par les attaquants a aussi été suspendu.