Le forze dell’ordine e le autorità giudiziarie di tutto il mondo hanno interrotto questa settimana una delle botnet più significative dell’ultimo decennio: Emotet. Gli investigatori hanno ora assunto il controllo della sua infrastruttura in un’azione internazionale coordinata.
Questa operazione è il risultato di uno sforzo di collaborazione tra autorità nei Paesi Bassi, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, con attività internazionale coordinata da Europol ed Eurojust.
Per dare un’idea, Emotet è stato il quinto malware più diffuso al mondo nel 2019, così come in Italia dove ha colpito il 19,13% delle organizzazioni (rispetto al 5,33% di diffusione a livello globale).
Emotet è stato uno dei malware più professionali e duraturi in circolazione. Scoperto per la prima volta come trojan bancario nel 2014, il malware si è evoluto nel corso degli anni fino a diventare la soluzione ideale per i criminali informatici. Infatti oltre ad essere in grado di raccogliere credenziali finanziarie, nomi utente, password, indirizzi e-mail e altri dati rilevanti, Emotet rende il PC infettato una sorta di “zombie” ai suoi comandi, facendolo diventare parte di una rete di device ( botnet ), che i cybercriminali in comando ( botmaster ) possono controllare a proprio piacimento per compiere altri crimini. (Ne avevamo già parlato in relazione ad un campagna di malspam con oggetto coronavirus)
Gli attori malevoli di Emotet hanno utilizzato la posta elettronica come vettore di attacco, utilizzando un processo automatizzato che “consegnava” malware agli endpoint delle vittime tramite allegati infetti.
Questi allegati dannosi presumevano essere fatture, avvisi di spedizione e informazioni su COVID-19, secondo Europol.
Una volta aperti quei file, essi abilitavano il codice dannoso nascosto nel file per installare Emotet sul dispositivo.
Tuttavia, ciò che ha reso il malware ancora più pericoloso è stato il fatto che il gruppo dietro Emotet ha offerto il malware “in affitto” ad altri malintenzionati, il che ha portato a trojan bancari e ransomware sui dispositivi delle vittime.
In Italia, una campagna di malspam per diffondere Emotet ha persino utilizzato riferimenti del Ministero dell’Economia e Finanze e del relativo portale IGF (Ispettorato Generale di Finanza).
Operazione di takedown
Emotet è stato neutralizzato da un’azione coordinata da Europol ed Eurojust, che ha visto la collaborazione delle autorità di Olanda, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, per dirottare contemporaneamente centinaia di server di comando e controllo Emotet
Le macchine infettate da Emotet sono ora collegate ad infrastrutture controllate dalle forze dell’ordine, il che significa che i criminali informatici non possono più sfruttare le macchine compromesse e il malware non può più diffondersi a nuovi obiettivi.
La polizia olandese dichiara di aver scoperto e interrotto anche i backup delle infrastrutture, cosa che “sperano renderà seriamente difficile una possibile ricostruzione di Emotet”.
Tra le scoperte, si evidenzia un database contenente gli indirizzi email raccolti dalla botnet: per verificare se il proprio indirizzo facesse parte di questo database è possibile effettuare apposita ricerca qui: se l’indirizzo era parte della raccolta, si riceverà un’email di spiegazioni; in caso contrario non si riceverà risposta alcuna.
È inevitabile che, nel caso di infezione, molti dati siano già stati trafugati dal cybercrime e, nei casi peggiori, rivenduti nel deep/dark web.
Per questo risulta necessario innanzitutto conoscere le best practice per proteggersi da attacchi di Phishing e per le aziende che possiedono dati che potrebbero impattare significativamente sul business se mal utilizzati, avere a disposizione un servizio che sia in grado di notificare eventuali violazioni utilizzi malevoli delle proprie credenziali, databreach, violazioni o clonazioni dei domini aziendali, così come la notifica di eventuali file secretati o documenti di progetto usciti dalla rete aziendale.