L'ANALISI TECNICA

Emotet, il più pericoloso framework criminale di cyber spionaggio: storia, evoluzione e tecniche di attacco

Emotet è una delle più diffuse minacce informatiche attive in Europa: nato come banking trojan, si è nel tempo evoluto fino a diventare un vero e proprio framework criminale per il cyber spionaggio. Analizziamone i dettagli e le tecniche di attacco per imparare a difenderci

Pubblicato il 30 Gen 2020

Marco Ramilli

Founder & CEO di Yoroi, Tinexta Group

Emotet framework criminale tecniche di attacco

L’attacco più eclatante portato a termine mediante il malware Emotet risale allo scorso 19 dicembre, quando le autorità di Francoforte furono costrette a “spegnere” la rete IT della città tedesca isolandola di fatto da Internet.

Quanto accaduto conferma che la complessità degli attacchi informatici aumenta con il passare dei giorni, così come la quantità di minacce che quotidianamente colpiscono le nostre aziende, ma tutto questo non rappresenta certo una novità.

Contrariamente a quanto conosciuto fino ad ora, un reale cambiamento è in veloce ascesa sul piano cyber. Come descritto da SentinelOne Labs in “The Hidden Link Between TrickBot Anchor and the Lazarus group”, il veloce cambiamento proviene dall’individuazione di framework cosiddetti criminali (ossia attribuiti a cyber-criminali) utilizzati per scopi di cyber spionaggio, attività tipicamente riservata ad enti governativi.

Compromettere organizzazioni strategiche da parte di attori governativi, sfruttando la pervasività di impianti criminali, è paragonabile ad un “patto” tra stato e criminalità-digitale il quale abilita nuovi scenari di attacco e aumenta, ancora una volta, la difficoltà di protezione nel digitale sia per l’impresa sia per il cittadino.

La nuova minaccia dei framework criminali

L’analisi approfondita di framework attribuiti a scopi criminali non ha mai del tutto destato l’interesse da parte di enti istituzionali alla difesa “cyber”, piuttosto quello di organizzazioni private devote alla difesa di industrie ed istituti bancari.

L’utilizzo del framework “TrickBot” da parte di Lazarus, noto gruppo afferente al governo nordcoreano, sfruttato per inserire nel “sistema vittima” un più complesso componente capace a sua volta di prelevare informazioni e controllare il sistema attaccato, richiede che massima attenzione venga posta anche sulle evoluzioni di framework comunemente utilizzati da criminali informatici.

Uno dei principali framework attualmente in commercio e artefice di numerose e contemporanee campagne di distribuzione di ransomware è per l’appunto Emotet: oggi una delle più diffuse minacce informatiche presenti in Europa e per questo utilizzata come esempio di analisi.

Che cos’è Emotet

Emotet è un framework molto noto nei principali market-place del Dark Web dove viene venduto “a servizio” già da diversi anni.

È in continuo miglioramento sia in nuove funzionalità che in nuovi metodi per evadere gli odierni sistemi antivirus e per questo particolarmente acclamato dai criminali digitali che ne fanno uso.

L’ ottima implementazione di “persistenza” (ovvero la capacità di insediarsi all’interno di un sistema vittima) e la sua architettura a moduli (ovvero la possibilità di attuare un’infezione a più stadi) lo rendono uno degli impianti criminali più noti e diffusi degli ultimi due anni.

Secondo un report realizzato da Sophos, Emotet rappresenta la più importante minaccia informatica in termini di efficacia e di numerosità di vittime. Lo hanno misurato e descritto attraverso il seguente grafico in cui ne viene mostrato l’andamento nel primo quadrimestre del 2019 (grafico Sophos).

Come si è evoluto

Durante gli anni Emotet è cambiato notevolmente passando da un semplice trojan banker con l’esclusiva abilità nel collezionare credenziali (username e password) ad un complesso impianto completo di moduli opzionali, sistemi di evasione e trucchi anti-analisi manuale. Le epoche in cui è stato classificato ad oggi sono tre:

  • Epoca 1. Emotet come banking trojan, nella sua originale funzione individuata nel 2014.
  • Epoca 2. Emotet come framework di delivery. Oltre al modulo “banking”, contiene al suo interno numerosi moduli come per esempio: “spam bot” (implementa la capacità di inviare e-mail di spam), DDoS comandato dal proprio pannello (modulare anch’esso) e una struttura di comando e di controllo, precedentemente non presente.
  • Epoca 3. Emotet come framework di delivery dotato di strutture anti-analisi e moduli di propagazione laterale. L’introduzione di un packer scritto ad-hoc per rendere la decompilazione complessa, l’inserimento di numerosi sistemi di “VM-detection” per comprendere se il software malevolo viene avviato in un sistema reale o artificiale, l’implementazione di un sistema di depistaggio IP attraverso l’attivazione di specifici sistemi di Command and Control afferenti ad IP non funzionali all’attacco e l’introduzione di moduli di auto-propagazione attraverso vulnerabilità SMB, hanno sancito la sua terza epoca. Oggi Emotet epoca 3 rappresenta uno dei framework più avanzati di attacco opportunistico in circolazione, in continuo sviluppo e sorprendentemente funzionale grazie alla costruzione dinamica delle “IAT” (Importing Address Table) implementate per i suoi moduli opzionali. Comparando hash pre-computati con il nome ed indirizzo delle funzioni da utilizzare, Emotet riesce a minimizzare la propria “traccia” (fingerprint) evadendo numerosi motori AV (antivirus) basati su analisi statica. Inoltre, sono stati implementati differenti metodi di “injection”; per esempio una delle ultime tecniche utilizzate permette di sospendere un processo target, scrivere il codice malevolo all’interno delle sue aree di memoria, impostare le giuste policy di lettura e scrittura delle pagine di memoria alterate e riesumare il processo stesso. Al termine della fase di injection il framework Emotet monitora la primitiva “WaitForSignleObject” al fine di ricevere un segnale dal nuovo codice inserito oppure attendendo da 1 fino a 5 minuti prima di utilizzare il nuovo modulo iniettato.

Oggi Emotet epoch3 ha veramente poco in comune con l’originale e romantico banking trojan se non il metodo utilizzato per avviare l’infezione. Il metodo preferito dal gruppo criminale continua ad essere la campagna di malspam, attraverso la quale l’attaccante induce la vittima ad aprire un file, tipicamente Office, opportunamente modificato.

Come viene consegnato Emotet alla vittima

Nonostante la sua costante evoluzione il vettore di infezione risulta osservare precisi metodi mantenuti quasi inalterati durante il corso degli anni. Come primo step viene recapitato alla vittima attraverso posta elettronica un file tipicamente Office (Excel oppure Word), Javascript oppure uno zip con password contenente codice PowerShell.

La tematica della campagna e-mail viene redatta attraverso loghi, comunicazioni o richieste tipiche di organizzazioni di grandi dimensioni come per esempio (ma non limitato a): banche nazionali, sistemi postali o compagnie telefoniche. Il tipico utilizzo di tali tematiche aumenta la probabilità di lettura da parte degli utenti vittima in quanto probabili clienti.

L’apertura del file allegato (oppure scaricato attraverso un link presente nel corpo dell’e-mail) avvia una serie di azioni automatiche che portano all’esecuzione di Emotet, permettendogli di insediarsi all’interno dell’host infettato.

Conclusioni

La grande diffusione di infezioni originate da framework criminali come Emotet è cosi pervasiva da attirare anche enti governativi a scopo di spionaggio.

Questo è il caso di TrickBot, a cui accennavamo all’inizio, altro framework utilizzato dalla criminalità che, attraverso l’introduzione di un artefatto creato ad hoc denominato “Anchor“, avrebbe iniettato all’interno della macchina target PowerRatankba, un malware basato su PowerShell attribuito al noto gruppo nordcoreano Lazarus.

Purtroppo, questo malsano rapporto di collaborazione tra un ente governativo (Nord Corea) e un gruppo criminale è stato avviato creando scenari non ancora concepiti.

Il timore è che altri gruppi istituzionali possano seguire tale esempio ed avviare partnership equivalenti, andando a compromettere non solo i sistemi informativi bersaglio, ma di conseguenza la democrazia, la privacy e ancora di più la fiducia che tutti noi abbiamo nella tecnologia come strumento per il “vivere bene”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati