I ricercatori di sicurezza monitorano attentamente le attività della botnet Emotet: d'altronde resta una delle principali minacce alla sicurezza informatica di singoli utenti, aziende ed enti. Recentemente i ricercatori hanno fatto una pessima scoperta, che dimostra non solo come Emotet sia definitivamente tornata in attività, ma anche di come il gruppo che la gestisce sia molto attivo anche nello stipulare "partnership".
Come raccontato già in precedenza, la botnet Emotet era stata abbattuta da una coalizione di forze dell'ordine internazionali ad inizio 2021: fu con grande sforzo del gruppo ransomware Conti che la botnet è stata rimessa in piedi ed ha iniziato a distribuire il ransomware Conti.
Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
D'altronde la botnet Emotet porta un grande vantaggio ai gruppi ransomware e non solo, dato che fornisce il vettore iniziale di attacco, o precursore, per molteplici attacchi.
Nel Giugno 2022 però si è sciolto il gruppo che gestiva il ransomware Conti, quindi la botnet ha trovato nuovi partner. Le analisi hanno indicato che al momento Emotet ha iniziato a distribuire i ransomware Quantum e BlackCat.
In dettaglio, spiegano i ricercatori, la botnet Emotet viene attualmente usata per distribuire un beacon di Cobalt Strike sui sistemi infetti. Cobal Strike è aa tutti gli effetti un payload di seconda fase e consente agli attaccanti di spostarsi lateralmente lungo le reti infette. Il payload del ransomware viene quindi distribuito nella rete della vittima. Il flusso è quindi identico alle modalità con cui veniva in precedenza distribuito Conti, con la differenza che il vettore di accesso iniziale non è più TrickBot.
Emotet è più attiva che mai
La storia della botnet Emotet dimostra che, in termini di lotta al cyber crime, occorre sempre essere prudenti nell'esultare. Quando la botnet è stata smantellata il mondo intero ha tirato un sospiro di sollievo, ma poche settimane dopo la botnet era in ricostruzione, perfino con nuove e più pericolose funzionalità e tecniche.
Per saperne di più > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento
I numeri ora parlano chiaro: Emotet è tornata in attività! I dati telemetrici pubblicati da AdvIntel parlano chiaro: dall'inizio dell'anno emotet ha infettato più di 1.200.000 sistemi in gir per il mondo, facendo registrare il picco di attività tra Febbraio e Marzo 2022.
 |
| Fonte: AdvIntel |
Già nel secondo trimestre del 2022 però Emotet ha fatto registrare cifre da capogiro: in quel periodo Emotet ha sostituito la botnet Qbot nelle campagne di phishing ed è stata responsabile del 90% dei malware che sono poi arrivate nelle caselle di posta degli utenti.
Il ransomware ALPHV/BlackCat in breve
ALPHV/BlackCat è un RaaS che ha debuttato sulle scene del cyber crime fin dai primi mesi del 2021. Dopo aver reclutato membri importanti ed esperti di altre operazioni ransomware meno fortunate (ex appartenenti a REvil dopo lo smantellamento e l'arresto di gran parte del gruppo, ma anche membri delle operazioni ransomware BlackMatter e DarkSide) ha incrementato la propria attività (Novembre 2021) e si è specializzato in reti aziendali. Pratica fin dall'inizio il meccanismo della tripla estorsione:
- un riscatto per non pubblicare i dati rubati;
- uno per il decryptor;
- uno per evitare attacchi DDoS, che vengono lanciati dal momento in cui la vittima rifiuta di collaborare.
La tripla estorsione già rende chiaro che ALPHV/BlackCat non si limita a criptare i dati, ma procede anticipatamente ad esfiltrarli dalla rete. Le modalità con le quali ALPHV/BlackCat accede alle reti sono varie: un recente studio ha mostrato come spesso sfrutti la vulnerabilità CVE-2021-31207 di Microsoft Exchange Server.
Questo ransomware può criptare sistemi Windows, Linux e perfino ambienti di VMware ESXi. Gestito da riga di comando, offre ai suoi affiliati non solo un alto livello di personalizzazione e configurazione, ma anche quattro diverse routine crittografiche.
Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva
Il ransomware Quantum in breve
Il ransomware Quantum è un "re branding" dell'operazione ransomware MountLocker, una famiglia in distribuzione dal Settembre 2020. Da quel momento, il gruppo ha cambiato più volte nome, tra i quali Astrolocker, Xinglocker e infine l'attuale Quantum.
L'ultimo rebranding, in Quantum appunto, risale all'Agosto del 2021, quando l'encyrptor di Quantum ha iniziato ad aggiungere, come estensione di criptazione, .QUANTUM.
 |
| La nota di riscatto di Quantom |
Quantum ha accolto alcuni membri del gruppo Conti, proprio subito lo shut down delle operazioni del ransomware Conti. Il che ribadisce una prassi del gruppo Conti che ormai possiamo dare per consolidata: quella di infiltrarsi e prendere il controllo di altre operazioni ransomware. E' già successo con le operazioni ransomware Hive, AvosLocker, BlackCat e Hello Kitty...
Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Nessun commento:
Posta un commento