Emotet è (stata) una delle più pericolose botnet mai esistite, responsabile di campagne di spam di proporzioni epocali. Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E' poi, piano piano, evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet ha distribuito sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest'ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).
Per dirla in breve, con le parole dell'Europol: "l'infrastruttura di Emotet agiva essenzialmente come apri porta principale sui sistemi informatici su scala globale. Una volta stabilito l'accesso non autorizzato, questo viene venduto ad altri gruppi di cyber attaccanti di alto livello per svolgere ulteriori attività illecite come il furto dati o l'estorsione ransomware".
Ora, finalmente, si può dire che il problema è risolto: l'infrastruttura è definitivamente smantellata perchè il malware, a partire da domenica, si sta auto cancellando da ogni dispositivo infetto, liberando i pc - bot e determinando il collasso della botnet stessa. Ciò è stato reso possibile da una operazione congiunta delle forze dell'ordine che, a Gennaio, sono riusciti a prendere il controllo del server di Emotet e a sabotare le operazioni malware. L'operazione condusse anche all'arresto, da parte della polizia ucraina, di 2 persone sospettate di aver gestito e mantenuto l'infrastruttura di Emotet per anni e che, ad ora, rischiano 12 anni di carcere.
"Questo malware si autodistruggerà in 3,2,1..."
Come detto, il malware Emotet da Domenica scorsa si sta auto distruggendo, liberando le centinaia di migliaia di dispositivi bot: tutto ciò è stato possibile perché le forze dell'ordine, una volta preso il controllo dell'infrastruttura, hanno introdotto una nuova configurazione a tutte le infezioni Emotet attive affinché il malware utilizzi come server di comando e controllo dei server controllati dalla polizia federale tedesca.Le forze dell'ordine hanno quindi distribuito un nuovo modulo Emotet, nel formato di una libreria 32-bit chiamata EmotetLoader.dll a tutti i dispositivi infetti: la DLL ha un solo effetto, ovvero quello di disinstallare automaticamente il malware a partire dal 25 Aprile.
Jerome Segura, un ricercatore indipendente, sta monitorando da vicino il funzionamento della libreria e ne ha testato gli effetti prima che scattasse la data X, verificando il comportamento su un sistema al quale ha modificato l'orario di sistema. Ha così verificato che la DLL elimina i servizi Windows associati al malware, le chiavi di autorun nel Registro quindi esce dal processo lasciando inalterato tutto il resto sul dispositivo compromesso.
Da Gennaio a fine Aprile: perchè le forze dell'ordine hanno indugiato così tanto?
Come detto, le forze dell'ordine hanno preso il controllo dell'infrastruttura di Emotet a Gennaio, ma le operazioni di rimozione del malware dai dispositivi bot sono iniziati Domenica scorsa. Il perchè di questo ritardo lo ha spiegato direttamente la Polizia tedesca, che ha anche creato e distribuito il nuovo modulo di Emotet:
"L'identificazione dei sistemi interessati è necessaria per acquisire prove e consentire agli utenti interessati di effettuare una pulizia completa del sistema e prevenire ulteriori cyber crimini. A tal fine i parametri di comunicazione del software sono stati corretti cosicchè i sistemi delle vittime non comunichino più con l'infrastruttura dei cyber criminali, ma con una rete appositamente reata per raccogliere prove".
Non ci sono ulteriori informazioni rispetto a questa operazione: i protagonisti (compresa l'FBI) non hanno voluto rilasciare maggiori informazioni. A ragione, si potrebbe dire: dopo l'operazione Emotet si è assistito alla rimozione da parte dell'FBI delle web shell dai server Microsoft Exchange compromessi negli USA, ed è diventato estremamente chiaro che assisteremo sempre più spesso ad operazioni simili. Operazioni che, però, corrono sempre sul filo del rasoio e che richiedono, per avere successo, che i cyber criminali siano presi alla sprovvista e non possano correre ai ripari. Il riserbo, quindi, si fa d'obbligo.
Nessun commento:
Posta un commento