Stiamo parlando spesso del trojan bancario Emotet, una cyber minaccia in continua evoluzione diffusa da qualche mese anche in Italia, con vere e proprie campagne di malspam mirate contro enti pubblici e aziende italiane.
Con l'avvicinarsi del nuovo anno gli attori responsabili di Emotet (che ricordiamo è un MaaS - Malware as a Service, affittabile online da chiunque paghi la quota di affiliazione) hanno provveduto ad alcune modifiche che, quasi sicuramente, vedremo operative nelle nuove versioni che saranno diffuse in questi giorni di festività: la principale è sulla modalità di diffusione, ma ne daremo conto nel caso in cui tali modifiche diverranno operative.
Intanto è notizia di ieri di una serie di attacchi mirati contro numerosi enti pubblici tedeschi, che hanno messo in difficoltà tale gli amministratori da dover bloccare numerosi sistemi per mitigare i danni.
A subire i danni maggiori la municipalità di Francoforte, obbligata allo shut down di tutti i sistemi IT per impedire la propagazione del malware in ulteriori infrastrutture: così per 24 ore tutti i i siti web della municipalità relativi ai servizi online per i cittadini sono rimasti offline. Anche in questo caso, la gravissima infezione si è sviluppata a partire da un solo click, stando alle ricostruzioni della stampa locale: il solito click sbagliato su mail compromessa da parte di un dipendente della municipalità.
Di li a pochi minuti, dopo l'infezione dell'endpoint dell'impiegato, Emotet ha cominciato a viaggiare e diffondersi lungo tutta la rete. Alla stampa i responsabili della sicurezza IT della municipalità di Francoforte hanno fatto sapere che il blocco di ogni attività informatica è stato deciso per evitare conseguenze peggiori, ad esempio (ed è assolutamente legittimo e verosimile) per evitare una possibile infezione ransomware. C'è infatti un precedente molto allarmante: nell'Autunno 2018 alcuni cyber criminali avevano colpito duramente gli Stati Uniti (all'indomani dell'emergenza dell'uragano Florence) sfruttando Emotet per distribuire ransomware sui computer già colpiti col trojan.
A subire i danni maggiori la municipalità di Francoforte, obbligata allo shut down di tutti i sistemi IT per impedire la propagazione del malware in ulteriori infrastrutture: così per 24 ore tutti i i siti web della municipalità relativi ai servizi online per i cittadini sono rimasti offline. Anche in questo caso, la gravissima infezione si è sviluppata a partire da un solo click, stando alle ricostruzioni della stampa locale: il solito click sbagliato su mail compromessa da parte di un dipendente della municipalità.
Di li a pochi minuti, dopo l'infezione dell'endpoint dell'impiegato, Emotet ha cominciato a viaggiare e diffondersi lungo tutta la rete. Alla stampa i responsabili della sicurezza IT della municipalità di Francoforte hanno fatto sapere che il blocco di ogni attività informatica è stato deciso per evitare conseguenze peggiori, ad esempio (ed è assolutamente legittimo e verosimile) per evitare una possibile infezione ransomware. C'è infatti un precedente molto allarmante: nell'Autunno 2018 alcuni cyber criminali avevano colpito duramente gli Stati Uniti (all'indomani dell'emergenza dell'uragano Florence) sfruttando Emotet per distribuire ransomware sui computer già colpiti col trojan.
La municipalità di Francoforte non è stata l'unica vittima: in meno di due settimane sono finite vittime di Emotet la Municipalità di Bad Homburg, l'Università Cattolica di Friburgo e l'Università Justus Liebig di Gießen. Non si riscontrano, per adesso, ondate di attacchi paragonabili, ma è evidente una recrudescenza degli attacchi portati con questo malware. Massima allerta, quindi, anche in Italia, dove è evidente che operino alcuni affiliati della botnet, protagonisti di numerose campagne di diffusione contro utenti italiani negli ultimi mesi.
Il malware Emotet
E' un trojan modulare sviluppato per rubare informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot. Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware.
Per approfondire >
> Emotet evolve ancora: nuovi template, nuove tecniche di infezione, nuovi sottogruppi di diffusione
Nessun commento:
Posta un commento