25 Maggio 2020

Un nuovo ransomware minaccia le farmacie e le attività che lavorano in ambito medico. Sicuramente di origine italiana questo virus rischia di mettere in ginocchio le attività in tutta la nazione.

Gli esperti di cyber security di Dottor Marc hanno ricevuto una segnalazione di un nuovo attacco ransomware che potrebbe aver preso di mira le farmacie, utilizzando un mix di tecniche di ingegneria sociale e criptazione per bloccare le attività commerciali in ambito medico.

Denominato Unicorn Ransomware, questo nuovo virus cerca di convincere l’utente a scaricare un file eseguibile e avviarlo sul proprio computer, con la promessa di offrire il versione beta l’app IMMUNI e “avere dati di prima mano aggiornati in tempo reale inerenti le situazioni di contagio sul vostro territorio”.

Per aumentare la veridicità del messaggio il mittente sembra essere FEDERAZIONE ORDINI FARMACISTI ITALIANI ma come si può notare il dominio internet dei collegamenti all’interno del messaggio non è bensì

La letterà I è stata sostituita con la lettera L e potrebbe trarre in inganno molte persone.

Il testo dell’email inviata dai criminali è questo:


Per far fronte all’attuale emergenza sanitaria correlata alla riapertura delle attività nel nostro territorio e alla conseguente necessità di ridurre i contatti tra le persone, per contrastare e contenere il diffondersi del Covid-19, si anticipa, tramite invio di una “beta release” a tutte le farmacie, parafarmacie, università, medici condotti ed enti coinvolti nell’emergenza di sanità pubblica, la prima versione per pc dell’app IMMUNI.
Questa versione potenziata, dedicata esclusivamente agli operatori sul campo, vi metterà in condizione di avere dati di prima mano aggiornati in tempo reale inerenti le situazioni di contagio sul vostro territorio. I dati vengono immediatamente condivisi dai server della Protezione Civile su tutti gli altri dispositivi connessi in streaming.
Avere un monitoraggio efficace e capillare sul territorio, sarà la chiave vincente per evitare una disastrosa seconda ondata di diffusione del virus.

Di seguito trovate il link per scaricare il file eseguibile da installare sul vostro pc.

Clicca su questo link per scaricare il file eseguibile dal sito della Federazione

Clicca su questo link per scaricare il file .rar dal sito della federazione

Via Palestro, 75 – 00185 Roma
tel. 06.4450361
[email protected]
Supporto tecnico per il sito : supporto_tecnico@
Ufficio stampa: ufficiostampa@ fo
Capo Ufficio stampa: Maurizio Imperiali
tel: 334/6068949

Ransomware IMMUNI: comportamento e conseguenze dell’infezione

Farmacie sotto attaccoIl programma che viene suggerito ai malcapitati si chiama IMMUNI.exe e si mostra con un’icona che ricorda il virus che tanto abbiamo imparato a conoscere negli ultimi mesi.

Analizzando il virus sono stati rilevati e catalogati i comportamenti del ransomware in un ambiente di prova.
Il virus una volta eseguito mostra una schermata volta a disorientare l’utente, una falsa mappa dei contagi a livello globale.

Farmacie sotto attacco
Virus Unicorn: la mappa dei contagi

Mentre l’utente è attratto da questa schermata il virus agisce in maniera silenziosa bloccando il computer, criptando i file e aggiungendo l’estensione .fuckunicornhtrhrtjrjy

La richiesta di riscatto, rilasciata a seguito della criptazione recita:

La lunga serpe sul bastone di Asceplio si è ribellata, ed una nuova era sta per sopraggiungere!
Questa è la vostra possibilità per redimervi dopo anni di peccati e soprusi.
Sta a voi scegliere. Entro 3 giorni il pegno pagare dovrai o il fuoco di Prometeo cancellerà
i vostri dati così come ha cancellato il potere degli Dei sugli uomini.  Il pegno è di solamente 300 euros, da pagare
con i Bitcoin al seguente indirizzo : 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ dopo che pagato avrai, 
una email mandarci dovrai. [email protected] il codice di transazione sarà la prova.
Dopo il pegno pagato riceverai la soluzione per spegnere il fuoco di Prometeo. Andare dalla 
polizia o chiamare tecnici a niente servirà, nessun essere umano aiutarti potrà.
Farmacie sotto attacco

Nel frattempo anche lo sfondo del PC viene modificato con questa immagine.

Farmacie sotto attacco

Approfondendo l’analisi tecnica i nostri esperti hanno rilevato alcune interessanti informazioni.

IMMUNI.exe : decompilazione e analisi

Questo il codice sorgente:

L’analisi mostra anche un dettaglio molto importante, aumentando le ipotesi di un virus scritto da criminali italiani per vittime italiane. Il nome del creatore potrebbe essere proprio Leonardo.

Farmacie sotto attacco

Virus IMMUNI: l’origine del file infetto

L’email inviata dai criminali invita l’utente a scaricare il file infetto dal sito che non è altro che la copia identica del sito ufficiale dell’FEDERAZIONE ORDINI FARMACISTI ITALIANI effettuata in data 3 maggio 2020.

L’interrogazione WHOIS del dominio FOFL.IT mostra alcune informazioni aggiuntive, come il nome del registrante, chiaramente fasullo.

Farmacie sotto attacco
Dominio registrato da NICOLAI DOMBROWSKY
Farmacie sotto attacco
Farmacie sotto attacco

Al momento della pubblicazione di questo contenuto il sito è già stato reso irraggiungibile dal servizio di hosting.

Virus IMMUNI: pagare il riscatto?

Verificando l’indirizzo su cui viene richiesto il pagamento del riscatto, al momento non risulta alcun pagamento andato a buon fine. Il nostro consiglio è di non effettuare in nessun modo questa operazione.

Virus IMMUNI: principianti allo sbaraglio?

Sono molti i fattori che possono indicare che l’origine di questo virus che cripta i file siano criminali alle prime armi, con scarse conoscenze tecniche, ma allo stesso tempo nessun timore nel diffondere una minaccia che potrebbe avere un grosso impatti a livello sociale.

Il codice del virus sembra essere un copia-incolla di altri ransomware già visti in precedenza. La diffusione è stata scarsa e il dominio truffaldino, ospitato da server tedeschi, è stato subito posto in sospensione.

Dolcis in fundo, l’email dei criminali (o forse criminale, Leonardo sei stato tu? ) indicata nella nota di riscatto.. è sbagliata! Questo impedirebbe un ipotetico contatto con la vittima, azzerando quindi la possibilità di comunicare una buona riuscita del pagamento e di conseguenza non offrendo la soluzione al blocco dei file.

Farmacie sotto attacco
