Secondo la telemetria di Kaspersky, a marzo del 2022 Emotet, una botnet ritenuta da Europol “il malware più pericoloso del mondo”, ha registrato un aumento delle sue attività a livello mondiale di oltre il 200%. Questa crescita indica che i threat actor che si nascondono dietro alla botnet hanno intensificato significativamente la loro attività malevola per la prima volta dopo il suo ritorno nel novembre 2021. Questi risultati fanno parte dell’ultima ricerca di Kaspersky che analizza i moduli di Emotet e l’attività recente.
Oltre ad essere una botnet, ovvero una rete controllata di dispositivi infetti utilizzati per attacchi ad altri dispositivi, Emotet è anche un malware in grado di estrarre diverse tipologie di dati, spesso finanziari, dai dispositivi infetti. Gestito da threat actor esperti, è diventato uno dei più grandi attori del mondo del cybercrimine. Emotet è stato smantellato a seguito di uno sforzo congiunto di varie forze dell’ordine di diversi Paesi a gennaio del 2021. Tuttavia, a novembre 2021, la botnet è tornata e da allora ha gradualmente aumentato la sua attività; prima diffondendosi tramite Trickbot, una diversa rete di bot, e ora da sola tramite campagne di spam malevole.
La telemetria di Kaspersky mostra che il numero di utenti presi di mira registrato a febbraio del 2022 era di 2.843 vittime, mentre a marzo il numero è salito a 9.086, più di tre volte il numero di utenti. Anche il numero di attacchi rilevati dalle soluzioni Kaspersky è cresciuto – da 16.897 a febbraio 2022 a 48.597 a marzo.
Andamento del numero di rilevazioni Emotet, novembre 2021-marzo 2022
Una tipica infezione Emotet inizia con e-mail di spam che contengono allegati di Microsoft Office con una macro dannosa. Utilizzando questa macro, l’attore può avviare un comando PowerShell dannoso per rilasciare e avviare un loader di moduli, che può quindi comunicare con un server di comando e controllo per scaricare e avviare i moduli. Questi moduli possono eseguire una varietà di compiti diversi sul dispositivo infetto. I ricercatori di Kaspersky sono stati in grado di recuperare e analizzare 10 dei 16 moduli, la maggior parte dei quali sono stati utilizzati da Emotet in passato in una forma o nell’altra.
La versione attuale di Emotet può creare campagne di spam automatizzate che si diffondono ulteriormente lungo la rete dai dispositivi infetti, estraendo e-mail e indirizzi e-mail dalle applicazioni Thunderbird e Outlook e raccogliendo le password dai browser web più popolari, come Internet Explorer, Mozilla Firefox, Google Chrome, Safari e Opera, per raccogliere i dettagli dell’account di vari client di posta elettronica.
“Emotet era una rete molto avanzata che prendeva di mira diverse organizzazioni in tutto il mondo. Il suo takedown è stato un passo significativo verso la diminuzione delle minacce in tutto il mondo, e ha contribuito a fare a pezzi la loro rete e rimuoverla dalla lista delle principali minacce per oltre un anno. Sebbene il numero di attacchi non sia paragonabile alla scala delle precedenti operazioni di Emotet, il cambiamento nelle dinamiche indica una significativa attivazione degli operatori della botnet e un’alta probabilità che questa minaccia si diffonda ulteriormente nei prossimi mesi”, ha commentato Alexey Shulmin, security researcher di Kaspersky.
Su Tomorrow Unlocked è possibile guardare il documentario sulle operazioni di smantellamento di Emotet.
Su Securelist.com è possibile avere maggiori informazioni sui moduli di Emotet.
Per aiutare le aziende a rimanere protette da Emotet e botnet simili, gli esperti suggeriscono alle organizzazioni di prendere le seguenti misure:
- Aggiornarsi e controllare gli ulteriori sviluppi riguardanti Emotet. Ci sono diversi modi per farlo, come visitare il Kaspersky Resource Center o condurre le proprie ricerche.
- Non scaricare allegati dubbi da e-mail di spam e non cliccare su link sospetti. Se si ha il sospetto che la mail sia malevola, evitare i rischi e contattare il mittente. Nel caso in cui venisse richiesto il permesso di eseguire una macro su un file scaricato, negare il permesso in ogni caso e cancellare immediatamente il file. In questo modo non verrà data a Emotet la possibilità di accedere al computer.
- Utilizzare l’online banking con soluzioni di autenticazione a più fattori.
- Installare un programma completo di protezione da virus e malware, come Kaspersky Internet Security, e eseguire regolarmente la scansione del computer per indagare su eventuali vulnerabilità. Questo consentirà di essere protetti anche dai nuovi virus, spyware ecc.
- Aggiornare il software – compreso il sistema operativo e qualsiasi applicazione software (gli attaccanti sfruttano le falle nei programmi più usati per accedere).
- Investire in una regolare formazione sulla cybersecurity awareness per i dipendenti per educarli alle migliori pratiche, come ad esempio non cliccare su link o aprire allegati ricevuti da fonti non attendibili. Dopo la formazione, coinvolgerli in un attacco di phishing simulato per assicurarsi che sappiano come distinguere le e-mail di phishing.
