Parliamo del malware Emotet
Forse avrete sentito parlare di Emotet nei notiziari. Che cos'è? Un antico re egizio, il gruppo emo preferito dalla vostra sorella adolescente? Temiamo di no.
Il Trojan bancario Emotet è stato identificato per la prima volta dai ricercatori di sicurezza nel 2014. Emotet è stato originariamente progettato come un malware bancario che tentava di intrufolarsi nel computer dell'utente e di rubare informazioni sensibili e private. Le versioni successive del software hanno visto l'aggiunta di servizi di spamming e di distribuzione di malware, tra cui altri trojan bancari.
Emotet utilizza funzionalità che aiutano il software a eludere il rilevamento da parte di alcuni prodotti anti-malware. Emotet utilizza funzionalità simili a quelle di un worm per favorire la diffusione ad altri computer connessi. Ciò favorisce la distribuzione del malware. Questa funzionalità ha portato il Department of Homeland Security a concludere che Emotet è una delle minacce informatiche più costose e distruttive, che colpisce il settore governativo e privato, individui e organizzazioni, e che costa fino a 1 milione di dollari per ogni incidente da ripulire.
Prodotti di cybersicurezza Emotet
Per gli affari
Malwarebytes Rilevamento e risposta degli endpoint
Malwarebytes Protezione degli endpoint
Malwarebytes Incident Response
Che cos'è Emotet?
Emotet è un Trojan che si diffonde principalmente attraverso le e-mail di spam(malspam). L'infezione può arrivare tramite script dannosi, file di documenti abilitati alle macro o link dannosi. Le e-mail di Emotet possono contenere un marchio familiare progettato per sembrare un'e-mail legittima. Emotet può tentare di persuadere gli utenti a fare clic sui file dannosi utilizzando un linguaggio allettante su "La vostra fattura", "Dettagli di pagamento" o forse una spedizione imminente da parte di note società di pacchi.
Emotet è passato attraverso alcune iterazioni. Le prime versioni si presentavano come un file JavaScript dannoso. Le versioni successive si sono evolute utilizzando documenti abilitati alle macro per recuperare il payload del virus dai server di comando e controllo (C&C) gestiti dagli aggressori.
Emotet utilizza una serie di trucchi per cercare di evitare il rilevamento e l'analisi. In particolare, Emotet sa se è in esecuzione all'interno di una macchina virtuale (VM) e rimane inattivo se rileva un ambiente sandbox, uno strumento utilizzato dai ricercatori di cybersicurezza per osservare il malware in uno spazio sicuro e controllato.
Emotet utilizza anche i server C&C per ricevere gli aggiornamenti. Questo funziona come gli aggiornamenti del sistema operativo sul PC e può avvenire senza soluzione di continuità e senza alcun segno esteriore. In questo modo gli aggressori possono installare versioni aggiornate del software, installare malware aggiuntivo come altri Trojan bancari o fungere da terreno di scarico per informazioni rubate come credenziali finanziarie, nomi utente e password e indirizzi e-mail.
Notizie su Emotet
- Emotet è tornato e non perde tempo.
- Emotet viene diffuso tramite i pacchetti malevoli di Windows App Installer
- TrickBot aiuta Emotet a tornare dalla morte
- Pulizia dopo Emotet: il dossier delle forze dell'ordine
- Analisi del malware: decodifica di Emotet, parte 2
- Analisi del malware: decodifica di Emotet, parte 1
Come si diffonde Emotet?
Il metodo di distribuzione principale di Emotet è il malspam. Emotet si impossessa dell'elenco dei contatti e si invia ad amici, familiari, colleghi e clienti. Poiché queste e-mail provengono dal vostro account di posta elettronica dirottato, le e-mail sembrano meno simili a spam e i destinatari, sentendosi al sicuro, sono più propensi a fare clic su URL sbagliati e su download file infetti.
Se è presente una rete connessa, Emotet si diffonde utilizzando un elenco di password comuni, indovinando la strada verso altri sistemi connessi con un attacco a forza bruta. Se la password dell'importantissimo server delle risorse umane è semplicemente "password", è probabile che Emotet vi trovi la strada.
Inizialmente i ricercatori pensavano che Emotet si diffondesse anche utilizzando le vulnerabilità EternalBlue/DoublePulsar, responsabili degli attacchi WannaCry e NotPetya. Ora sappiamo che non è così. Ciò che ha portato i ricercatori a questa conclusione è stato il fatto che TrickBot, un trojan spesso diffuso da Emotet, utilizza l'exploit EternalBlue per diffondersi in una determinata rete. È stato TrickBot, non Emotet, a sfruttare le vulnerabilità EternalBlue/DoublePulsar.
Qual è la storia di Emotet?
Identificato per la prima volta nel 2014, Emotet continua a infettare i sistemi e a danneggiare gli utenti ancora oggi, ed è per questo che ne stiamo ancora parlando, a differenza di altre tendenze del 2014 (Ice Bucket Challenge anyone?).
La prima versione di Emotet era stata progettata per rubare i dati dei conti bancari intercettando il traffico Internet. Poco tempo dopo, è stata individuata una nuova versione del software. Questa versione, denominata Emotet versione due, era dotata di diversi moduli, tra cui un sistema di trasferimento di denaro, un modulo di malspam e un modulo bancario che prendeva di mira le banche tedesche e austriache.
Nel gennaio 2015 è apparsa sulla scena una nuova versione di Emotet. La terza versione conteneva modifiche stealth progettate per mantenere il malware al di sotto dei radar e aggiungeva nuovi obiettivi bancari svizzeri.
Nel 2018, le nuove versioni del Trojan Emotet includono la capacità di installare altro malware sulle macchine infette. Questo malware può includere altri trojan e ransomware. Secondo Gizmodo, un attacco di Emotet del luglio 2019 a Lake City, in Florida, è costato alla città 460.000 dollari di pagamenti per ransomware. Un'analisi dell'attacco ha rilevato che Emotet è servito solo come vettore di infezione iniziale. Una volta infettato, Emotet ha scaricato un altro Trojan bancario noto come TrickBot e il ransomware Ryuk.
Dopo un periodo di relativa calma per la maggior parte del 2019, Emotet è tornato con forza. Nel settembre 2019, Malwarebytes Labs hariferito di una campagna di spam guidata da una botnet che ha preso di mira vittime tedesche, polacche, italiane e inglesi, con oggetti formulati in modo astuto come "Avviso di pagamento" e "Fattura scaduta". L'apertura del documento Microsoft Word infetto avvia una macro, che a sua volta scarica Emotet da siti WordPress compromessi.
A chi si rivolge Emotet?
Tutti sono un bersaglio per Emotet. Ad oggi, Emotet ha colpito individui, aziende ed enti governativi negli Stati Uniti e in Europa, rubando login bancari, dati finanziari e persino portafogli Bitcoin.
Un attacco Emotet degno di nota alla città di Allentown, PA, ha richiesto l'aiuto diretto del team di risposta agli incidenti di Microsoft per essere ripulito e, secondo quanto riferito, è costato alla città più di 1 milione di dollari per essere risolto.
Ora che Emotet viene utilizzato per download e distribuire altri Trojan bancari, l'elenco degli obiettivi è potenzialmente ancora più ampio. Le prime versioni di Emotet sono state utilizzate per attaccare clienti bancari in Germania. Le versioni successive di Emotet hanno preso di mira organizzazioni in Canada, Regno Unito e Stati Uniti.
Come posso proteggermi da Emotet?
Imparando a conoscere il funzionamento di Emotet, avete già compiuto il primo passo per proteggere voi stessi e i vostri utenti da Emotet. Ecco alcuni passi aggiuntivi che potete compiere:
- Mantenete i vostri computer/endpoint aggiornati con le ultime patch per Microsoft Windows. TrickBot viene spesso consegnato come payload secondario di Emotet e sappiamo che TrickBot si basa sulla vulnerabilità EternalBlue di Windows per fare il suo sporco lavoro, quindi applicate una patch a questa vulnerabilità prima che i criminali informatici possano approfittarne.
- Non download allegati sospetti e non fate clic su un link dall'aspetto losco. Se si evitano le e-mail sospette, Emotet non può prendere piede nel sistema o nella rete. Dedicate del tempo a educare i vostri utenti su come riconoscere il malspam.
- Istruite voi stessi e i vostri utenti sulla creazione di una password forte. Già che ci siete, iniziate a usare l'autenticazione a due fattori.
- Potete proteggere voi stessi e i vostri utenti da Emotet con un solido programma di cybersecurity che include una protezione a più livelli. Malwarebytes business e i prodotti consumer premium rilevano e bloccano Emotet in tempo reale.
Come posso rimuovere Emotet?
Se si sospetta di essere già stati infettati da Emotet, non bisogna spaventarsi. Se il computer è collegato a una rete, isolatelo immediatamente. Una volta isolato, procedete alla patch e alla pulizia del sistema infetto. Ma non avete ancora finito. A causa del modo in cui Emotet si diffonde nella rete, un computer pulito può essere reinfettato quando viene ricollegato a una rete infetta. Pulite uno per uno tutti i computer della rete. È un processo noioso, ma le soluzioni aziendaliMalwarebytes possono renderlo più semplice, isolando e rimediando gli endpoint infetti e offrendo una protezione proattiva contro future infezioni da Emotet.
Se conoscere è metà dell'opera, visitate il sito web Malwarebytes Labs per saperne di più su come Emotet elude il rilevamento e su come funziona il codice di Emotet.