Autore: Itay Bochner
Sintesi
Il nome di Emotet è apparso spesso nelle cronache di recente, dopo un lungo periodo passato sottotraccia, soprattutto nel contesto di diffusi attacchi ransomware e campagne di phishing avanzate. Si tratta di un Trojan avanzato comunemente distribuito tramite allegati di posta elettronica e link che, una volta cliccati, lanciano il payload. Emotet funziona come dropper per altri malware.
Cosa rende Emotet così speciale da diventare la più grande botnet utilizzata dagli attori delle minacce?
Per capirlo partiamo dall'inizio...
Spiegazione di Emotet
Emotet è stato identificato per la prima volta nel 2014, quando i clienti delle banche tedesche e austriache sono stati colpiti dal trojan. È stato sviluppato come un semplice Trojan in grado di rubare informazioni sensibili e private. Con l'evoluzione ha acquisito ulteriori funzionalità, come lo spamming e i servizi di distribuzione di malware (Dropper) che, dopo aver infettato un PC, installano altro malware. Di solito vengono rilasciati i seguenti programmi:
- TrickBot - Un Trojan bancario che tenta di accedere ai dati di login dei conti bancari.
- Ryuk: un ransomware che cripta i dati e blocca l'utente del computer dall'accesso a questi dati o all'intero sistema.
Emotet si diffonde con caratteristiche simili a quelle di un worm tramite allegati di e-mail di phishing o link che caricano un allegato di phishing. Dopo essere stato aperto, Emotet si diffonde in tutta la rete indovinando le credenziali di amministrazione e utilizzandole per scrivere in remoto su unità condivise utilizzando il protocollo di condivisione file SMB, che dà all'aggressore la possibilità di muoversi lateralmente attraverso la rete.
Secondo la US-CISA :
Emotet è un Trojan avanzato che si diffonde principalmente tramite allegati di e-mail di phishing e link che, una volta cliccati, lanciano il payload(Phishing: Spearphishing Attachment[T1566.001], Phishing: Spearphishing Link[T1566.002]). Il malware tenta quindi di proliferare all'interno di una rete forzando brutalmente le credenziali degli utenti e scrivendo su unità condivise(Brute Force: Password Guessing[T1110.001], Valid Accounts: Account locali[T1078.003], Servizi remoti: SMB/Windows Admin Shares[T1021.002]).
Quanto detto sottolinea il motivo per cui Emotet è difficile da prevenire, a causa delle sue speciali tecniche di evasione e delle sue caratteristiche "simili a quelle di un worm" che gli consentono di diffondersi autonomamente all'interno della rete.
Un'altra caratteristica fondamentale è che Emotet utilizza DLL (Dynamic Link Libraries) modulari per evolvere e aggiornare continuamente le sue funzionalità.
Attività recenti
Ci sono state numerose segnalazioni che indicano un forte aumento dell'uso di Emotet
- Gli attacchi rilevati che utilizzano il Trojan Emotet sono aumentati di oltre il 1200% dal secondo al terzo trimestre di quest'anno, sostenendo un'impennata delle campagne ransomware, secondo gli ultimi dati di HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Dal luglio 2020, il CISA ha registrato un aumento dell'attività degli indicatori associati a Emotet. In questo periodo, il sistema di rilevamento delle intrusioni EINSTEIN del CISA, che protegge le reti federali, civili e del ramo esecutivo, ha rilevato circa 16.000 avvisi relativi all'attività di Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Il mese scorso Microsoft, Italia e Paesi Bassi hanno segnalato un'impennata nell'attività di spam maligno di Emotet, poche settimane dopo che Francia, Giappone e Nuova Zelanda avevano lanciato l'allarme su Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - Nelle ultime settimane, abbiamo visto un numero significativamente maggiore di Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/).
La particolarità del comportamento di Emotet durante questa nuova ondata è il cambiamento delle campagne di spam di Emotet, che ora sfruttano anche file ZIP protetti da password invece di documenti Office.
L'idea è che, utilizzando file protetti da password, i gateway di sicurezza delle e-mail non possano aprire l'archivio per scansionarne il contenuto e non vedano le tracce del malware Emotet al suo interno.
Palo Alto Networks ha anche pubblicato una nuova tecnica utilizzata da Emotet, chiamata Thread Hijacking. Si tratta di una tecnica di attacco via e-mail che utilizza messaggi legittimi rubati dai client di posta elettronica dei computer infetti. Questo Malspam simula un utente legittimo e impersona una risposta all'e-mail rubata. Il Malspam dirottato sul thread viene inviato agli indirizzi del messaggio originale.
OPSWAT offre soluzioni preventive in grado di difendere la vostra organizzazione dagli attacchi di Emotet. Le nostre soluzioni aiutano le organizzazioni a prevenire l'ingresso di Emotet nelle reti.
Email Gateway Security blocca gli attacchi di phishing
Secure Access aiuta a convalidare la conformità
MetaDefender Core con Deep CDR (Content Disarm and Reconstruction) fornisce una protezione di sicurezza per il caricamento dei file utilizzando.
Per ulteriori informazioni, contattateci oggi stesso.
