mercoledì 4 settembre 2019

Il ritorno di Emotet: la botnet è di nuovo attiva


Il gruppo dietro il trojan bancario Emotet e relativa botnet è comparso nel 2014 ed è considerato uno dei più longevi del settore del cyber crimine: pur alternando periodi di forte attività a periodi di inattività totale, conta ormai più di 5 anni di vita. In questo lungo periodo Emotet si è costruito una certa fama, balzando poi agli "onori" della cronaca come uno dei "Top 10 Malware" del 2019, confermandosi come un malware estremamente pericoloso. Così pericoloso da indurre il CERT-USA a diramare uno specifico avviso di sicurezza per le aziende nel quale viene definito così:

"Emotet è un trojan bancario polimorfico capace di evadere l'individuazione basata su firma. E' dotato di molteplici metodi per il mantenimento della persistenza, incluso l'auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale".

L'ultimo allarme dell'anno si era registrato nel Febbraio 2019, periodo nel quale fu lanciata una enorme campagna di distribuzione di una nuova versione del trojan: nuova versione che si caratterizzò per l'essere dotata di molteplici strumenti utili a evitare l'individuazione da parte dei software antivirus e antimalware. 

"I server sono di nuovo attivi"
Dalla campagna del febbraio 2019 di Emotet non si sono avute più notizie: i server di comando e controllo risultavano infatti inattivi. Fino a qualche giorno fa, quando ricercatori di sicurezza indipendenti e non solo, hanno iniziato a intercettare traffico in entrata e in uscita verso i server C&C. 

La lista dei server C&C di Emotet. Fonte: https://www.securityinfo.it
"La botnet quindi sta tornando lentamente in funzione ma ad ora non ci sono tracce di nuove campagne di distribuzione del malware" spiega Alessandro Papini, esperto di cyber sicurezza "Questo fatto rassicura, ma potrebbe anche indicare qualcosa di molto meno rassicurante: nulla esclude infatti il rischio che questa ripresa dell'attività dei server C&C di Emotet sia in realtà una fase preparatoria per l'avvio di un nuovo periodo di intensa attività, come Emotet ci ha abituato". 

I ricercatori di Malware Tech hanno già svolto una prima, approfondita analisi di tali server, notando come questi siano geograficamente distribuiti: sono infatti stati individuati server attivi in Brasile, Giappone, Stati Uniti, Messico, Germania ecc...

La posizione geografica di alcuni server C&C di Emotet. Fonte: https://www.securityinfo.it
Insomma, i ricercatori di sicurezza hanno già le antenne puntate sulla botnet Emotet, aspettandosi qualcosa di grosso, probabilmente il ritorno alla distribuzione di una nuova versione di Emotet stesso. La particolarità infatti è che negli ultimi mesi in cui il trojan è stato silente, l'infrastruttura di Emotet è comunque rimasta attiva, distribuendo però prima il trojan bancario TrickBot poi il ransomware Ryuk. Che si tratti quindi di un ritorno alle origini? 

Nessun commento:

Posta un commento