L'ANALISI TECNICA

Emotet, che c’è da sapere sul ritorno del trojan bancario e come difendersi

Dopo un prolungato periodo di “pausa”, il banking trojan Emotet è tornato a colpire con tecniche di attacco sempre più sofisticate e distruttive. Ecco tutti i dettagli tecnici e i consigli pratici per difendersi

03 Set 2020
P
Riccardo Paglia

Cyber Security Expert, CEO and Co-founder of Swascan


Non è mai stata una questione di “se”, ma piuttosto di “quando”. Dopo cinque mesi di assenza, il temuto banking trojan Emotet è tornato.

Mentre ci stavamo preparando alle ferie di agosto, sono stati rilevati i primi segnali di un possibile di ritorno. Poi, a partire dal 17 luglio le botnet di Emotet hanno iniziato a spingere attivamente con una serie di campagne di spam.

Lo hanno fatto utilizzando le stesse tecniche impiegate nelle ultime ondate prima della sua temporanea scomparsa. Come da tradizione, le e-mail di phishing contengono un URL o un allegato che, una volta cliccato o aperto, lancia il payload di Emotet. Una tecnica usata dai criminal hacker che utilizzano questo trojan è quella di inviare il documento come risposta all’interno dei thread di posta elettronica esistenti.

Emotet è stato di gran lunga la minaccia più visibile e attiva nel 2018 e nel 2019 fino all’inizio del 2020, quando è andato in “pausa” prolungata (grazie allo sviluppo di un kill switch in grado di tenerlo a bada per qualche mese).

Uno dei motivi per cui ha avuto e continua ad avere così tanto successo è la sua costante evoluzione nelle tecniche di attacco.

Per esempio, Emotet utilizza gli allegati di posta elettronica rubati per aggiungere credibilità allo spam che genera per infettare sistemi mirati.

Questo si aggiunge alla già citata tecnica di dirottamento dei thread di posta elettronica, una strategia di social engineering impiegata per aumentare la probabilità di infezione.

Emotet è anche spesso e volentieri utilizzato dai criminal hacker come punto di ingresso iniziale per stabilire la permanenza degli aggressori all’interno di un’organizzazione bersaglio (si parla di giorni, ma anche settimane).

Nella sua più recente incarnazione, Emotet è stato osservato scaricare payload secondari come TrickBot e QakBot per rubare le credenziali delle vittime.

In realtà, il vero – e più devastante – danno causato da un attacco con Emotet avviene quando opera in congiunzione con dei ransomware, come Ryuk, che è stato un “partner” costante di Emotet nel 2019.

WEBINAR
Collaboration, Cloud e Security by default: come ottenere vantaggi ed evitare le complessità
Cloud
Sicurezza

Per il momento, nella sua ultima campagna non è stata ancora identificata una famiglia di ransomware prevalente.

Dove nasce Emotet

Il trojan bancario Emotet è stato identificato per la prima volta dai ricercatori nel 2014, originariamente progettato come un malware bancario che tentava di intrufolarsi nel computer e rubare informazioni sensibili. Le versioni successive del software hanno visto l’aggiunta di servizi di spamming e di consegna di malware, compresi altri trojan bancari.

Emotet utilizza funzionalità che aiutano il software a eludere il rilevamento da parte di alcuni prodotti antimalware e funzionalità simili a quelle dei worm per aiutare a diffondersi su altri computer collegati.

Principalmente si diffonde attraverso le e-mail di spam (malspam). L’infezione può arrivare sia tramite script maligni, file abilitati alle macro oltre ai classici link malevoli.

Le e-mail di Emotet possono contenere un marchio familiare, progettato per assomigliare a un’e-mail legittima. Come le campagne di phishing più pericolose, può cercare di convincere gli utenti a fare clic sui file dannosi utilizzando un linguaggio allettante con oggetti come “La tua fattura”, “Dettagli di pagamento” o, eventualmente, una spedizione imminente da parte di un corriere.

Emotet ha attraversato alcuni cambiamenti, le prime versioni sono arrivate come file JavaScript dannoso. Quelle successive si sono evolute per utilizzare documenti abilitati alle macro per recuperare il payload del virus dai server di comando e controllo (C&C) gestiti dagli aggressori.

Il trojan utilizza una serie di trucchi per cercare di impedire il rilevamento e l’analisi. In particolare, Emotet sa se sta girando all’interno di una macchina virtuale (VM) e rimarrà inattivo se rileva un ambiente sandbox.

Come se non bastasse utilizza anche i server C&C per ricevere aggiornamenti. Questo sistema funziona allo stesso modo degli aggiornamenti del sistema operativo sul nostro PC e può avvenire senza soluzione di continuità e senza alcun segnale evidente all’esterno.

In questo modo gli aggressori possono installare versioni aggiornate del software o installare ulteriori malware come altri trojan bancari.

Le tecniche di diffusione di Emotet

Come accennato, il metodo di distribuzione primario per Emotet sono le campagne di phishing (o malspam).

Emotet saccheggia le liste dei contatti e si propaga verso amici, familiari, colleghi e clienti.

Dal momento che queste e-mail provengono dal nostro account di posta elettronica violato, le e-mail desteranno certamente meno sospetti e i destinatari, sentendosi al sicuro, saranno più inclini a cliccare su URL malevoli e a scaricare file infetti.

Se è presente una rete collegata, Emotet si diffonderà utilizzando una lista di password comuni con un semplice attacco di brute force.

Se la password per il server delle risorse umane è semplicemente “password”, è probabile che Emotet sia già entrato.

I bersagli prediletti di Emotet

Detto in parole povere? Tutti.

Fino ad oggi, Emotet ha colpito individui, aziende ed enti governativi in tutti gli Stati Uniti e in Europa, rubando login bancari, dati finanziari e persino Bitcoin.

Ora che Emotet viene utilizzato per scaricare e consegnare altri trojan bancari, l’elenco degli obiettivi è potenzialmente ancora più ampio.

Le prime versioni di Emotet sono state utilizzate per attaccare istituti bancari in Germania. Le versioni successive di Emotet hanno preso di mira organizzazioni in Canada, Regno Unito e Stati Uniti.

I consigli per difendersi

Ecco, dunque, alla luce di quanto visto finora, alcune best practice per mettere in sicurezza il proprio computer e difendersi dagli attacchi informatici condotti mediante il banking trojan Emotet:

  1. Manteniamo il vostro computer/endpoint aggiornati con le ultime patch per Windows. TrickBot viene spesso fornito come payload secondario di Emotet e TrickBot si affida alla vulnerabilità di Windows EternalBlue per fare il suo lavoro sporco. Patchare le vulnerabilità prima che i criminali informatici possano approfittarne è sempre uno dei rimedi più semplici e immediati.
  2. Non scarichiamo gli allegati sospetti e non clicchiamo su link dall’aspetto poco affidabile. Emotet non può ottenere il suo punto d’appoggio iniziale sul nostro sistema o sulla nostra rete se evitiamo questi messaggi di phishing. Incrementare l’awareness dei propri dipendenti con il Phishing Attack Simulation diventa fondamentale e permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco.
  3. Autenticazione a due fattori e password forti devono entrare assolutamente nel novero delle best practice per impedire la diffusione di Emotet all’interno delle reti colpite.
WHITEPAPER
Sicurezza e strumenti digitali intelligenti: il nuovo volto dello Smart Working
Dematerializzazione
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5