Emotet torna a colpire in Italia: la notizia proviene dal CERT, che ha individuato una nuova campagna di distribuzione del malware. Emotet non si vedeva nel nostro paese da 4 mesi.
La nuova campagna di distribuzione di Emotet
Il CERT ha individuato e analizzato una campagna di diffusione di Emotet in Italia. Il malware torna attivo nel nostro paese dopo 4 mesi di assenza: l'ultima campagna individuata contro utenti italiani risaliva infatti al 15 Luglio 22.
La nuova campagna, circolata via email, veicola un allegato in formato ZIP protetto da password e contenente un classico file XLS con macro dannosa.
 |
| Fonte: https://cert-agid.gov.it |
 |
| Fonte: https://cert-agid.gov.it |
La catena di infezione, spiega il CERT, non è cambiata: vi sono 4 dropurl usate dalla macro. Queste, parzialmente leggibili direttamente dal file XLS, conducono al download della libreria DLL a 64BIT di Emotet. Questa DLL viene quindi eseguita con il comando regsvr32
I server di comando e controllo collegati a questa infezione sono 58: quasi tutti gli IP sono già stati usati in precedenti campagne e afferiscono alla parte della botnet Emotet denominata Epoch4. Nessuno di questi è localizzato in Italia.
 | |
|
Gli indicatori di compromissione sono disponibili qui
Emotet e l'archivio autoestraente
Di Emotet abbiamo parlato pochi giorni fa, quando un'interessante analisi dei ricercatori di Trustwave ha scoperto una nuova campagna Emotet (che non ha riguardato l'Italia) nella quale l'archivio protetto da password è autoestraente.
Per approfondire > Botnet Emotet: nuova ondata di attacchi. L'archivio protetto da password si sblocca da solo
In dettaglio gli attaccanti hanno aggiunto un file batch che fornisce automaticamente la password per estrarre l'archivio. La minaccia non è affatto secondaria: stando ai dati dei ricercatori, c'è stata quest'anno una vera e propria esplosione del numero di minacce nascoste dentro archivi protetti da password. Ben il 96% di questi sono distribuiti proprio dalla botnet Emotet. Gli archivi protetti da password sono il terzo formato di file più utilizzato dagli attaccanti per nascondere il malware.
Mitigare il rischio: le misure per affrontare Emotet
Emotet è un avversario molto temibile, ma esistono delle contromisure utili a minimizzare il rischio: di queste alcune sono tecniche (riguardano hardware e software), altre invece riguardano l'anello debole della catena di cyber security ovvero il personale aziendale.
- formare il personale per sensibilizzarlo sui casi di phishing insegnando a riconoscere le email sospette;
- sensibilizzare il personale rispetto ai rischi connessi all'apertura di allegati email, soprattutto file Office contenenti macro.
Gli amministratori di sistema, fermo restando particolari esigenze aziendali, dovrebbero
- bloccare allegati email solitamente collegati a malware (con particolare attenzione a DLL e EXE);
- bloccare allegati email che non possono essere scansionati da soluzioni antivirus (come gli archivi ZIP o gli archivi di vario formato protetti da password);
- impostare regole restrittive sul firewall in locale;
- quando possibile, disabilitare PowerShell 2.0 oppure limitarne l'esecuzione sulle macchine impostando criteri di esecuzione di PowerShell per consentire l'esecuzione solo di script firmati;
- impedire l'esecuzione delle macro nei file Office, oppure limitarne l'esecuzione ad utenti esperti che ne hanno comprovata necessità. In alternativa, un valido sistema è impedire l'esecuzione di macro non firmate;
- seguire il criterio del "privilegio minimo" per utente;
- limitare e verificare l'accesso alle risorse: mai lasciare che tutti gli utenti possano accedere liberamente alle risorse aziendali, anche a quelle non necessarie allo svolgimento delle mansioni;
- implementare sistemi di autentificazione e conformità dei messaggi: utilizzare i record SPF, DMARC e DKIM per verificare i mittenti;
- segmentare le reti, segmentare le funzioni. Valutare l'attuazione del modello zero-trust;
ecc..
Le misure di mitigazione complete sono consultabili in questo report > EMOTET Descrizione e misure di contrasto - CSIRT Italia
Nessun commento:
Posta un commento