Emotet

Emotet è un tipo di malware originariamente progettato come Trojan bancario per rubare dati finanziari, ma è evoluto fino a diventare una grande minaccia per gli utenti di tutto il mondo.

DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per il Business

Parliamo del malware Emotet

Forse avrete sentito parlare di Emotet nei notiziari. Che cos'è? Un antico re egizio, il gruppo emo preferito dalla vostra sorella adolescente? Temiamo di no.

Il Trojan bancario Emotet è stato identificato per la prima volta dai ricercatori di sicurezza nel 2014. Emotet è stato originariamente progettato come malware bancario che cercava di infilarsi nel tuo computer per rubare informazioni sensibili e private. Le versioni successive del software hanno visto l'aggiunta di servizi di spam e distribuzione di malware, inclusi altri Trojan bancari.

Emotet utilizza funzionalità che aiutano il software a eludere il rilevamento da parte di alcuni prodotti anti-malware. Emotet utilizza funzionalità simili a quelle di un worm per favorire la diffusione ad altri computer connessi. Ciò favorisce la distribuzione del malware. Questa funzionalità ha portato il Department of Homeland Security a concludere che Emotet è una delle minacce informatiche più costose e distruttive, che colpisce il settore governativo e privato, individui e organizzazioni, e che costa fino a 1 milione di dollari per ogni incidente da ripulire.

Prodotti di cybersicurezza Emotet

Per il business

Malwarebytes Rilevamento e risposta degli endpoint
Malwarebytes Protezione degli endpoint
Malwarebytes Incident Response

Che cos'è Emotet?

Emotet è un Trojan che si diffonde principalmente tramite email di spam (malspam). L'infezione può arrivare tramite script malevoli, file di documenti abilitati per macro o link pericolosi. Le email di Emotet possono contenere loghi familiari progettati per sembrare email legittime. Emotet potrebbe cercare di convincere gli utenti a cliccare sui file malevoli utilizzando linguaggi allettanti come "La tua fattura", "Dettagli del pagamento" o un'eventuale spedizione da famose aziende di corriere.

Emotet è passato attraverso alcune iterazioni. Le prime versioni si presentavano come un file JavaScript dannoso. Le versioni successive si sono evolute utilizzando documenti abilitati alle macro per recuperare il payload del virus dai server di comando e controllo (C&C) gestiti dagli aggressori.

Emotet utilizza una serie di trucchi per cercare di evitare il rilevamento e l'analisi. In particolare, Emotet sa se è in esecuzione all'interno di una macchina virtuale (VM) e rimane inattivo se rileva un ambiente sandbox, uno strumento utilizzato dai ricercatori di cybersicurezza per osservare il malware in uno spazio sicuro e controllato.

Emotet utilizza anche i server C&C per ricevere gli aggiornamenti. Questo funziona come gli aggiornamenti del sistema operativo sul PC e può avvenire senza soluzione di continuità e senza alcun segno esteriore. In questo modo gli aggressori possono installare versioni aggiornate del software, installare malware aggiuntivo come altri Trojan bancari o fungere da terreno di scarico per informazioni rubate come credenziali finanziarie, nomi utente e password e indirizzi e-mail.

Notizie su Emotet

ℹ️ Emotet viene ora distribuito direttamente tramite documenti di malspam. pic.twitter.com/pqYwSdIm82
— ThreatDown (@Threat_Down) Novembre 16, 2021

Come si diffonde Emotet?

Il metodo di distribuzione principale di Emotet è il malspam. Emotet si impossessa dell'elenco dei contatti e si invia ad amici, familiari, colleghi e clienti. Poiché queste e-mail provengono dal vostro account di posta elettronica dirottato, le e-mail sembrano meno simili a spam e i destinatari, sentendosi al sicuro, sono più propensi a fare clic su URL sbagliati e su download file infetti.

Se è presente una rete connessa, Emotet si diffonde utilizzando un elenco di password comuni, indovinando la strada verso altri sistemi connessi con un attacco a forza bruta. Se la password dell'importantissimo server delle risorse umane è semplicemente "password", è probabile che Emotet vi trovi la strada.

Inizialmente, i ricercatori pensavano che Emotet si diffondesse anche utilizzando le vulnerabilità EternalBlue/DoublePulsar, responsabili degli attacchi WannaCry e NotPetya. Ora sappiamo che non è così. Ciò che ha portato i ricercatori a questa conclusione è il fatto che TrickBot, un Trojan spesso diffuso da Emotet, utilizza l'exploit EternalBlue per diffondersi in un determinato network. Era TrickBot, non Emotet, a sfruttare le vulnerabilità EternalBlue/DoublePulsar.

Qual è la storia di Emotet?

Identificato per la prima volta nel 2014, Emotet continua a infettare i sistemi e a danneggiare gli utenti ancora oggi, ed è per questo che ne stiamo ancora parlando, a differenza di altre tendenze del 2014 (Ice Bucket Challenge anyone?).

La prima versione di Emotet era stata progettata per rubare i dati dei conti bancari intercettando il traffico Internet. Poco tempo dopo, è stata individuata una nuova versione del software. Questa versione, denominata Emotet versione due, era dotata di diversi moduli, tra cui un sistema di trasferimento di denaro, un modulo di malspam e un modulo bancario che prendeva di mira le banche tedesche e austriache.

"Le versioni attuali del Trojan Emotet includono la possibilità di installare altro malware sulle macchine infette. Questo malware può includere altri Trojan bancari o servizi di distribuzione di malspam".

Nel gennaio 2015 è apparsa sulla scena una nuova versione di Emotet. La terza versione conteneva modifiche stealth progettate per mantenere il malware al di sotto dei radar e aggiungeva nuovi obiettivi bancari svizzeri.

Nel 2018, le nuove versioni del Trojan Emotet includono la capacità di installare altro malware sulle macchine infette. Questo malware può includere altri trojan e ransomware. Secondo Gizmodo, un attacco di Emotet del luglio 2019 a Lake City, in Florida, è costato alla città 460.000 dollari di pagamenti per ransomware. Un'analisi dell'attacco ha rilevato che Emotet è servito solo come vettore di infezione iniziale. Una volta infettato, Emotet ha scaricato un altro Trojan bancario noto come TrickBot e il ransomware Ryuk.

Dopo un periodo di relativa calma per la maggior parte del 2019, Emotet è tornato con forza. Nel settembre 2019, Malwarebytes Labs hariferito di una campagna di spam guidata da una botnet che ha preso di mira vittime tedesche, polacche, italiane e inglesi, con oggetti formulati in modo astuto come "Avviso di pagamento" e "Fattura scaduta". L'apertura del documento Microsoft Word infetto avvia una macro, che a sua volta scarica Emotet da siti WordPress compromessi.

Chi prende di mira Emotet?

Tutti sono un bersaglio per Emotet. Ad oggi, Emotet ha colpito individui, aziende ed enti governativi negli Stati Uniti e in Europa, rubando login bancari, dati finanziari e persino portafogli Bitcoin.

Un attacco Emotet degno di nota alla città di Allentown, PA, ha richiesto l'aiuto diretto del team di risposta agli incidenti di Microsoft per essere ripulito e, secondo quanto riferito, è costato alla città più di 1 milione di dollari per essere risolto.

Ora che Emotet viene utilizzato per download e distribuire altri Trojan bancari, l'elenco degli obiettivi è potenzialmente ancora più ampio. Le prime versioni di Emotet sono state utilizzate per attaccare clienti bancari in Germania. Le versioni successive di Emotet hanno preso di mira organizzazioni in Canada, Regno Unito e Stati Uniti.

"Un attacco Emotet degno di nota alla città di Allentown, PA, ha richiesto l'aiuto diretto del team di risposta agli incidenti di Microsoft per essere ripulito e, secondo quanto riferito, è costato alla città più di 1 milione di dollari per essere risolto".

Come posso proteggermi da Emotet?

Imparando a conoscere il funzionamento di Emotet, avete già compiuto il primo passo per proteggere voi stessi e i vostri utenti da Emotet. Ecco alcuni passi aggiuntivi che potete compiere:

Mantenete i vostri computer/endpoint aggiornati con le ultime patch per Microsoft Windows. TrickBot viene spesso consegnato come payload secondario di Emotet e sappiamo che TrickBot si basa sulla vulnerabilità EternalBlue di Windows per fare il suo sporco lavoro, quindi applicate una patch a questa vulnerabilità prima che i criminali informatici possano approfittarne.
Non download allegati sospetti e non fate clic su un link dall'aspetto losco. Se si evitano le e-mail sospette, Emotet non può prendere piede nel sistema o nella rete. Dedicate del tempo a educare i vostri utenti su come riconoscere il malspam.
Istruite voi stessi e i vostri utenti sulla creazione di una password forte. Già che ci siete, iniziate a usare l'autenticazione a due fattori.
Puoi proteggerti e proteggere i tuoi utenti da Emotet con un programma di cybersecurity robusto che include una protezione a più livelli. I prodotti business e premium consumer di Malwarebytes rilevano e bloccano Emotet in tempo reale.

Come posso rimuovere Emotet?

Se si sospetta di essere già stati infettati da Emotet, non bisogna spaventarsi. Se il computer è collegato a una rete, isolatelo immediatamente. Una volta isolato, procedete alla patch e alla pulizia del sistema infetto. Ma non avete ancora finito. A causa del modo in cui Emotet si diffonde nella rete, un computer pulito può essere reinfettato quando viene ricollegato a una rete infetta. Pulite uno per uno tutti i computer della rete. È un processo noioso, ma le soluzioni aziendaliMalwarebytes possono renderlo più semplice, isolando e rimediando gli endpoint infetti e offrendo una protezione proattiva contro future infezioni da Emotet.

Se conoscere è metà della battaglia, vai su Malwarebytes Labs per saperne di più su come Emotet sfugge alla rilevazione e come funziona il codice di Emotet.