Emotet è una delle più diffuse minacce informatiche attive in Europa: nato come banking trojan, si è nel tempo evoluto fino a diventare un vero e proprio framework criminale per il cyber spionaggio,
L’attacco più eclatante portato a termine mediante questo malware risale allo scorso 19 dicembre, quando le autorità di Francoforte dovettero interrompere il funzionamento della rete IT della città, isolandola di fatto da Internet.
Nell’ambito delle botnet, per buona parte del 2019 aveva fatto da padrone Necurs, per la diffusione di email di phishing e malware. Con il nuovo anno i gruppi di Cybercrime hanno deciso di abbandonare Necurs per Emotet, perché hanno riscontrato la garanzia di una presenza più forte all’interno dei network una volta infettati e di poter effettuare attacchi più mirati. Inoltre, questo malware era stato inizialmente concepito come banking malware per sottrarre le credenziali necessarie ad accedere ai conti corrente direttamente dai sistemi informatici delle vittime. Da quel momento ha subito una rapida evoluzione, riuscendo a sviluppare le capacità di rimanere invisibile alla maggior parte deisistemi anti malware e di diffondersi silenziosamente attraverso le reti dopo il “primo contatto”, aggiungendo anche la funzionalità di botnet, cosa che lo ha fatto divenire il preferito dei Criminal Hacker per gli attacchi contro i grandi network.
Secondo l’ Homeland Security Department degli Stati Uniti, Emotet è al momento il malware più distruttivo, con un costo medio per ogni avvenimento superiore al milione di dollari. La sua adozione su larga scala ha di fatto declassato Necurs da botnet preferita a soluzione di basso livello utilizzata da attori di media validità. Il declassamento è stato conseguenza di un particolare evento. Proprio a cavallo tra il nuovo ed il vecchio anno sono state segnalate milioni di e-mail inviate da una Botnet con Ip riconducibili alla Lituania, al Cile e all’India. La campagna consisteva nell’invio di una e-mail contenente un link a un sito web creato ad hoc per impostare una truffa “get-rich-quick”. In particolare, le vittime venivano esposte a “Bitcoin Era”, una truffa basata sulla promessa di profitti veloci con il trading Bitcoin. La politica di questo tipo era stata vincente per un paio di anni, poi gli elevati volumi di mail utilizzate nelle recenti campagne sono state rapidamente rilevate e i loro IP sono stati immediatamente posti in blacklist. Mentre i gruppi malevoli puntano a ben altre informazioni (come carte di credito o accessi finanziari) e si sono allontanati da questo metodo.
Peraltro, Emotet è un pericoloso malware che ruba le password e che, nel momento in cui si eseguono bonifici bancari, cerca d’intromettersi per modificarne il destinatario e appropriarsi dei soldi del correntista.
È il banking trojan che si diffonde principalmente tramite e-mail: una volta attecchito su un PC rimane silente ma contemporaneamente cerca d’infettare altri utenti e dispositivi e può fare da punto d’ingresso per ulteriori malware.
E’ stata recentemente scoperta una variante di Emotet, sempre diffusa attraverso mail, che si presenta come una risposta “plausibile” proveniente da un nostro contatto; inoltre il messaggio contiene o una nostra mail inviata in passato al contatto oppure una sua precedente mail destinata a noi. In sintesi, la casella di mail del nostro contatto (e in alcuni casi anche la nostra) è stata quasi sicuramente compromessa e/o copiata e comunque si è verificato un data breach significativo.
L’apparente provenienza della mail, oltre a cercare di ridurre le nostre difese psicologiche specie se il contatto è persona a noi vicina, ha l’effetto di evitare che questi messaggi contenenti il malware non finiscano tra gli spam, perché provengono da contatti noti ed i sistemi antispam tendono a ritenere che sia improbabile ricevere da essi mail spazzatura.
La fiducia nei confronti dei sistemi antispam non deve quindi far pensare che quando un messaggio supera i controlli sia automaticamente sicuro e privo di malware.
Allo stesso modo, il fatto che provenga da un contatto noto e possa contenere anche un nostro messaggio, non deve farci dimenticare le regole base della sicurezza e dell’autodifesa digitale, prima tra tutte che non sempre il mittente di una mail è colui che afferma di essere.
Alberto Traballesi
