E' periodo di supereroi, pare: dopo l'ignoto giustiziere che cancella i dati contenuti in database non sicuri ed esposti sul web, ecco un altro ignoto vigilante che sta letteralmente smembrando la botnet Emotet. Della botnet di Emotet abbiamo parlato qualche giorno fa perchè, dopo 5 mesi di inattività, è tornata sulle scene "col botto", mettendo in distribuzione malware come TrickBot e QakBot, ma anche ransomware come Ryuk e Conti.
Il sabotaggio, perchè di questo parliamo, è iniziato qualche giorno fa, il 21 Luglio ed è cresciuto di intensità col passare del tempo: se in un primo momento poteva sembrare uno semplice scherzo, pian piano si la situazione si è fatta seria, impattando pesantemente larga parte delle operazioni di Emotet. La sostituzione del payload dannoso di Emotet con immagini GIF animate ha effettivamente salvato centinaia di vittime dall'infezione.
Stando a quanto dichiarato da Cryptolaemus, un gruppo di ricercatori white-hat specializzati nel tracciamento delle attività di Emotet, l'ignoto giustiziere è riuscito a colpire e compromettere oltre un quarto di tutti i payload di Emotet in diffusione.
Emotet in breve
Ricordiamo che Emotet è una infrastruttura estremamente complessa, costituita da più componenti, ritenuta ad oggi la più pericolosa versione di botnet/malware esistente. Questa botnet colpisce target aziendali con ondate di email di spam. Queste email contengono un documento Office (in vari formati, talvolta Excel, talvolta Word) oppure link che conducono al relativo documento: il testo dell'email è pensato per convincere l'utente a scaricare il file quindi abilitare la macro contenuta. La macro avvia l'esecuzione di uno script che scarica il malware Emotet e altre sue componenti: molte di queste componenti sono ospitate e scaricate tramite siti WordPress hackerati.
Il tallone d'Achille di Emotet: i siti Wordpress
E' proprio la location di appoggio di questi file la debolezza di Emotet, sul quale il misterioso giustiziere ha fatto leva. Il gruppo di Emotet controlla questi siti web hackerati tramite alcune web shell, una tipologia di malware che viene installata sui server compromessi e tramite la quale gli attaccanti si garantiscono l'accesso remoto alle macchine. Ma i gestori di Emotet non stanno usando le web shell migliori e più sicure: al contrario stanno utilizzando script open source e, addirittura, stanno utilizzando la stessa password per tutte le web shell. Insomma, oltre ad usare strumenti vulnerabili hanno esposto l'intera loro infrastruttura ad attacchi di hijacking (dirottamento) ad opera di chiunque conosca quella password.
Il sabotaggio di Emotet
Come accennato, l'attacco a Emotet è iniziato Martedì: in quella giornata il misterioso giustiziere ha scoperto la password comune a tutte le web shell e ha iniziato ad utilizzarla per compromettere pezzo dopo pezzo la rete di attacco. La prima operazione compiuta è stata la sostituzione del payload di Emotet su alcuni siti Wordpress con GIF animate: significa che se un utente dovesse aprire i file Office dannosi, non verrà infettato perchè il malware di Emotet non verrà scaricato ne eseguito. La prima GIF individuata è questa: Blink182 "WTF", cosa che ha fatto subito pensare ad uno scherzo
Il secondo giorno l'attaccante ha iniziato ad usare una GIF di James Franco, poi si è "stabilizzato" nell'uso della GIF di Hackerman.
Resta fitto il mistero intorno al sabotatore: c'è chi ritiene possa appartenere ad una banda di cyber attaccanti avversaria, c'è chi dice sia un dipendente di qualche azienda di cyber security ma l'unica cosa sicura per adesso è che non c'è alcuna indicazione riguardo la sua identità o le sue motivazioni.
Nessun commento:
Posta un commento