La botnet Emotet ora fa coppia fissa con i ransomware BlackCat e Quantum

I ricercatori di sicurezza monitorano attentamente le attività della botnet Emotet: d'altronde resta una delle principali minacce alla sicurezza informatica di singoli utenti, aziende ed enti. Recentemente i ricercatori hanno fatto una pessima scoperta, che dimostra non solo come Emotet sia definitivamente tornata in attività, ma anche di come il gruppo che la gestisce sia molto attivo anche nello stipulare "partnership".

Come raccontato già in precedenza, la botnet Emotet era stata abbattuta da una coalizione di forze dell'ordine internazionali ad inizio 2021: fu con grande sforzo del gruppo ransomware Conti che la botnet è stata rimessa in piedi ed ha iniziato a distribuire il ransomware Conti.

Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

D'altronde la botnet Emotet porta un grande vantaggio ai gruppi ransomware e non solo, dato che fornisce il vettore iniziale di attacco, o precursore, per molteplici attacchi. 

Nel Giugno 2022 però si è sciolto il gruppo che gestiva il ransomware Conti, quindi la botnet ha trovato nuovi partner. Le analisi hanno indicato che al momento Emotet ha iniziato a distribuire i ransomware Quantum e BlackCat.

In dettaglio, spiegano i ricercatori, la botnet Emotet viene attualmente usata per distribuire un beacon di Cobalt Strike sui sistemi infetti. Cobal Strike è aa tutti gli effetti un payload di seconda fase e consente agli attaccanti di spostarsi lateralmente lungo le reti infette. Il payload del ransomware viene quindi distribuito nella rete della vittima. Il flusso è quindi identico alle modalità con cui veniva in precedenza distribuito Conti, con la differenza che il vettore di accesso iniziale non è più TrickBot. 

Emotet è più attiva che mai

Il ransomware LockBit colpisce aziende ed istituzioni: online i dati rubati al Comune di Gorizia

Certo, è impossibile (né è nostro scopo) elencare dettagliatamente tutti gli attacchi informatici avvenuti in Italia negli ultimi giorni. Alcuni però sono importanti, sia perché indicano tendenze sia perché indicano, invece, gravi mancanze dalle quali si può sempre imparare. 

Per approfondire > Ransomware: LockBit 3.0 debutta anche in Italia e colpisce la FAAC

LockBit colpisce la Software Line e il Comune di Gorizia

LockBit 3.0 è ormai, indubbiamente, in vetta e saldamente al comando tra le operazioni Ransomware: il più efficace, il più efficiente, quello che miete più vittime. In Italia ormai ve n'è una distribuzione costante e, di settimana in settimana, aumentano le vittime: di conseguenza continueremo, come stanno facendo giustamente tutti i nostri colleghi di settore, a lanciare l'allarme sul pericolo ransomware e sull'urgenza, ormai irrimandabile, di correre ai ripari. 

In ordine di tempo, l'attacco più recente segnalato dagli attentissimi esperti di red Hot Cyber è stato quello della Software Line, comparsa pochi giorni fa nel leak site di LockBit 3.0: il countdown  per il pagamento del riscatto è fissato al 24 Settembre. 

Fonte: Red Hot Cyber

Come si può vedere, al countdown sono allegati alcuni sample che, come da consuetudine, servono a provare che l'attacco è realmente avvenuto e riuscito. 

I gruppi ransomware passano alla tecnica della criptazione intermittente per velocizzare gli attacchi

Un numero crescente di gruppi ransomware sta adottando una nuova tecnica per criptare i dati presenti nei sistemi bersaglio: questa nuova tecnica li aiuta a velocizzare la criptazione, quindi riduce la possibilità che le soluzioni EDR o semplicemente antivirus possano individuare e bloccare la routine di criptazione. 

Questa tecnica si chiama criptazione intermittente e consiste nel criptare soltanto parti del contenuto dei file sotto attacco: i file saranno comunque inaccessibili e irrecuperabili senza ottenere la chiave di decriptazione, ma è indubbio che "il lavoro" che deve svolgere il ransomware si riduce drasticamente. E con esso il tempo necessario per criptare un intero sistema. Per parlare concretamente: saltare ogni 16 byte di file consente di criptare un file nella metà del tempo che solitamente occorrerebbe per una criptazione completa. Il risultato non cambia però: il contenuto del file diviene inaccessibile. 

C'è un secondo vantaggio, per gli attaccanti: la criptazione è più leggera, più blanda quindi è più complesso, per gli strumenti di rilevamento automatico che si basano sull'individuazione degli attacchi rilevando e segnalando pesanti operazioni di modifica sui file. 

Per saperne di più > Il fattore tempo: quale ransomware cripta più velocemente i dati?

La criptazione intermittente è sempre più diffusa

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3 - 9 Settembre

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della settimana 3-9 Settembre

La scorsa settimana il CERT ha individuato e analizzato 28 campagne dannose: di queste 25 sono state mirate contro obiettivi italiani mentre 3 sono state generiche, ma hanno comunque colpito il cyber spazio italiano. 

Sono state 4 le famiglie di malware individuate in diffusione. Soltanto 7 le campagne dannose che hanno diffuso malware: 

Infrastrutture energetiche italiane sotto attacco ransomware: GSE, Eni e Canarbino colpite in pochi giorni

Le infrastrutture energetiche italiane stanno subendo un'ondata di attacchi ransomware. Da GSE ad ENI, passando per Canarbino, qualcuno sta puntando ad infrastrutture critiche del nostro paese

BlackCat attacca GSE: dopo una settimana è tornato online solo il sito web

GSE, Gestore dei servizi energetici, è una società pubblica controllata dal Ministero dell'economia e delle finanze. Si occupa di energie rinnovabili. Nella notte tra il 28 e il 29 Agosto 

"il Gse è stato vittima di un attacco informatico per mezzo di un malware di ultima generazione. Al fine di mettere in sicurezza i dati e i sistemi informativi, il sito internet e i portali sono stati resi temporaneamente indisponibili”

come ha fatto sapere il gestore stesso, dichiarando anche di aver tempestivamente segnalato l'attacco alle autorità competenti. Il sito web è finito offline e il ripristino è riuscito solo pochi giorni fa. L'attacco è stato rivendicato da una vecchia conoscenza, che in Italia si è già fatta notare più volte: parliamo dell'operazione ransomware BlackCat. 

Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

La rivendicazione è avvenuta, come da consuetudine, nel leak site di Black Cat: qui gli attaccanti affermano di aver esfiltrato 700 GB di dati dall'infrastruttura GSE

Fonte: leak site di BlackCat / ALPHV