Il virus mascherato da cartella esattoriale

6 febbraio 2018 0 Di Yuri Poletto
Il virus TaxOlolo è stato creato su misura per le aziende italiane e viene diffuso tramite un’e-mail che sembra provenire dal ministero delle Finanze. Ha colpito più di 80 aziende ed enti. Tra loro Fineco, Autostrade, agenzie Aci e i comuni di Brescia e Bologna.

Chi ha escogitato questo sistema conosce senz’altro bene il fisco italiano. Almeno secondo la Yoroi di Bologna, azienda specializzata in sicurezza informatica che ha scoperto un attacco mirato alle aziende italiane. La mail attraverso la quale si è propagato il virus ha come oggetto “Codici Tributo Acconti” o anche “F24 Acconti-Codice Tributo 4034”. A ben guardare l’indirizzo del mittente è chiaramente fasullo: info@amber-kate.com o info@fallriverproductions.com. Ma se si commette la leggerezza di non notarlo limitandosi all’oggetto, come è già accaduto a molti italiani, le conseguenze possono essere gravi.

Come funziona.

Una volta aperto il link, il virus TaxOlolo si collega inizialmente ad una URL che rimanda ad un server controllato dagli hacker. Il funzionamento è semplice, nella sua diabolicità: sul computer del malcapitato arriva un file .exe capace di auto-istallarsi e di rimanere in attesa di comandi dall’esterno. “Stiamo cercando di capire cosa è capace di fare, ma sicuramente è stato lanciato con intenti malevoli” racconta Marco Ramilli, a capo della Yoroi.

Le aziende colpite.

Stando alle indagini degli inquirenti, le aziende cascate nel tranello sarebbero oltre ottanta e quasi tutte italiane. Ci sarebbero nomi di peso come Autostrade, Bt Italia, Camera dei deputati, i comuni di Brescia e Bologna, Fastweb, Fineco, H3G, Ministero dell’interno, Provincia di Reggio Emilia, le regioni di Basilicata, Toscana e Veneto, Telecom Italia, Tiscali, Trenitalia, Università degli Studi di Milano, diversi uffici di Vodafone e di Wind e agenzie esterne legate ad Aci.

Le reti colpite non sono state tutte necessariamente infettate, molte infatti grazie ai sistemi di sicurezza informatica di cui sono dotate hanno bloccato la minaccia (Trenitalia ad esempio fa sapere di non aver subito danni). Rimane comunque il problema, come accade spessissimo, dell’errore o imperizia umana: qualcuno all’interno che ha inconsapevolmente aperto la porta agli hacker.

“Nel caso dei provider, da Telecom a Vodafone fino a Wind, è probabile che ad esser infettato sia stato qualche loro cliente più che i loro sistemi ”, prosegue Marco Ramilli. “Incredibile che a distanza di oltre un giorno il server di controllo del virus, che dovrebbe essere in Inghilterra, a Lincoln (nord est di Nottingham), sia ancora attivo”. La società che affitta il server sarebbe la Namecheap.com, vende servizi cloud, e accetta pagamenti in bitcoin. Sarà comunque difficile risalire a chi realmente ha sferrato l’attacco.


Fonte Repubblica


Iscriviti alla nostra newsletter

Condividi il post