Di Emotet abbiamo parlato decine di volte: è unanimemente considerato il malware più diffuso al mondo nel passato, famoso (ma sarebbe meglio dire famigerato) per la sua botnet tramite la quale distribuiva milioni e milioni di email di spam con allegati dannosi ogni giorno. Questi allegati distribuivano il malware Emotet per infettare il dispositivo e renderlo parte della botnet, così da poter avviare ulteriori campagne di spam e installare altri payload.
Emotet ha vantato nel passato collaborazioni con i malware di punta del cyber crime: parliamo di ransomware come Ryuk, Conti, Egregor ma anche altri malware, soprattutto QakBot (molto diffuso in Italia, anche nelle scorse settimane) e TrickBot.
All'inizio dell'anno "il colpaccio" delle forze dell'ordine e dell'Europol: due persone finiscono in manette mentre la task force assume il controllo dell'infrastruttura della botnet. Di li a poco, la Polizia tedesca utilizza l'infrastruttura stessa per distribuire un modulo di Emotet che disinstalla il malware dai dispositivi infetti: è il 25 Aprile 2021. Quasi 700 server vengono scollegati dall'infrastruttura.
Per approfondire > Finisce un'era: il malware Emotet si auto elimina dai pc infetti in tutto il mondo. Le forze dell'ordine smantellano definitivamente la botnet
Bad news: Emotet is back
Ora arriva la brutta notizia e arriva dai ricercatori di Cryptolaemus, un gruppo che per anni ha seguito, monitorato e analizzato le campagne di Emotet, l'avanzamento della sua infrastruttura e l'ampliamento della botnet, nonchè le partnership. Emotet infatti negli ultimi anni si era specializzato come "ariete": una volta aperta una porta su un dispositivo o una rete, rivendeva questi accessi ad altri gruppi di cyber attaccanti in cambio di una parte dei proventi conseguenti agli attacchi.Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Fresh, active Emotet botnet C2 servers are now being pushed to Feodo Tracker 💪🛡️
— abuse.ch (@abuse_ch) November 15, 2021
👉 https://t.co/TvIJyqHYVs
We urge you to *BLOCK* these C2 servers and regularly update your block list to receive the maximum protection!
👉 https://t.co/if21bBHTpo pic.twitter.com/sdySouHxxb
E' proprio grazie ad una delle partnership più solide che Emotet è tornato in campo: i suoi autori stanno infatti ricostruendo la botnet Emotet utilizzando l'infrastruttura di TrickBot. Il ricercatore di Cyrptolaemus Joseph Roosen ha spiegato che non ci sono stracce, ad ora, di attività di spamming dalla botnet Emotet e non sono stati individuati in diffusione documenti dannosi: la mancanza di attività indica che ancora la botnet non è ricostruita e probabilmente sta rubando nuovi account email per avviare la catena di risposte per le future campagne. Quel che è certo è che, invece, il malware TrickBot sta diffondendo sui dispositivi infetti un loader di Emotet.
L'operazione è stata ribattezzata, dai ricercatori, "Operation reacharound". Le prime analisi sul nuovo loader indicano alcune novità rispetto alle versioni precedenti, segno che il malware è stato rivisto e migliorato. I comandi che il malware porta con sé ora sono 7, anzichè 3-4. Sembrano riferire a diverse opzioni di esecuzione di binari scaricati (e non solo DLL).
Alla luce di questi eventi, le parole del ricercatori di sicurezza ed esperto di ransomware Vitali Kremez, suonano come un allarme:
"Questo è un primo segno di una possibile, imminente attività del malware Emotet in soccorso di operazioni ransomware di livello globale, data la carenza attuale dell'ecosistema dei loader".
Il timestamp della DLL del loader è chiaro: Sun Nov 14 20:50:34 2021, 14 Novembre. In due giorni sono già 246 i nuovi dispositivi infetti che sono utilizzati come server di comando e controllo.
Misure di mitigazione
Onde evitare di dover correre ai ripari quando le uova si sono già rotte nel paniere e visto che Emotet è stato molto attivo anche in Italia, gli amministratori di rete potrebbero valutare di bloccare gli indirizzi IP attualmente conosciuti associati alla botnet, disponibili qui
Nessun commento:
Posta un commento