Emotet, l’Europol ha ucciso il super malware ma non è finita qui: ecco perché - Cyber Security 360

I RETROSCENA

Emotet, l’Europol ha ucciso il super malware ma non è finita qui: ecco perché

Grazie ad un’operazione internazionale di polizia coordinata dall’Europol e ribattezzata LadyBird, è stata smantellata la botnet Emotet: un’importante battaglia vinta contro il cyber crime, che deve però servire da lezione a tutti sull’importanza della cyber security awareness e può avere altri strascichi. Ecco perché

01 Feb 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Lo smantellamento del noto framework Emotet da parte dell’Europol è certo un risultato importante nella lunga lotta contro il cyber crimine. Ma sarebbe sbagliato cantare vittoria: semmai, l’analisi di quanto accaduto è l’occasione per ribadire ancora una volta l’importanza di una corretta e diffusa consapevolezza delle minacce informatiche (security awareness) a tutti i livelli della società digitale.

La minaccia rappresentata dal framework Emotet

L’operazione dell’Europol, in collaborazione con Eurojust e denominata Ladybird, è importante perché smantella quello che era ben più di un semplice malware.

Emotet, apparso in natura per la prima volta nel 2014 come trojan bancario e gestito inizialmente da attori di minaccia afferenti al gruppo APT TA542, si è nel tempo evoluto fino a diventare un vero e proprio framework criminale multifunzione, capace di insinuarsi illecitamente nei sistemi informatici di tutto il mondo.

Rappresentando una delle principali minacce nel 2018, nel 2019 e nei primi mesi del 2020 in pieno inizio era COVID-19, l’impianto dietro alla botnet Emotet è stato anche uno strumento offerto a noleggio come servizio a varie aggregazioni criminali terze, impiegato come testa di ponte per distribuire altro codice malevolo per una vasta gamma di attività fraudolente che spaziano dal furto di credenziali (Trickbot, QBot) all’estorsione tramite ransomware (Conti, Prolock, Ryuk).

Emotet, con la sua modularità (che ha inoltre consentito negli anni ai criminal hacker di condurre svariate campagne malspam veicolanti allegati o link a documenti Word malevoli e spacciati per fatture, informazioni di spedizioni o informative su tematiche contemporanee e comuni a livello globale) e con la sua alta capacità di movimento laterale e resilienza, è stato sicuramente una delle principali armi del cyber crime internazionale.

I retroscena dell’operazione LadyBird

L’operazione transnazionale LadyBird condotta e coordinata nell’ambito della EMPACT (European Multidisciplinary Platform Against Criminal Threats) ha visto la collaborazione delle autorità dei Paesi Bassi, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, consentendo agli investigatori di interrompere le azioni criminali correlate a Emotet e di prendere il controllo delle relative infrastrutture.

Il logo dell’Operazione “LadyBird” (fonte: politie.nl).

Secondo il comunicato stampa di Europol, la task force internazionale è riuscita, assumendo il pieno controllo dell’impianto criminale composto da diverse centinaia di server distribuiti in tutto il mondo con diverse funzionalità, a gestire i sistemi coinvolti sia nella distribuzione del malware che nell’approvvigionamento dei relativi servizi, dandone ampia informazione alla rete dei vari CERT nazionali per le notifiche locali di competenza.

WHITEPAPER
Governance delle informazioni: come garantire sicurezza e conformità
Sicurezza

In particolare, la polizia nazionale olandese avendo scoperto nel corso dell’indagine un corposo database contenente indirizzi e-mail e credenziali rubati, ha messo a disposizione della collettività una pagina online di ricerca degli indirizzi di posta elettronica che potenzialmente potrebbero essere stati compromessi.

L’aggiornamento automatico che spegnerà Emotet sui computer infetti

Inoltre, secondo altre indiscrezioni la stessa polizia olandese avrebbe pianificato, per il prossimo 25 aprile con la diffusione di un aggiornamento Emotet (EmotetLoader.dll, payload implementato dalla polizia federale tedesca), un kill switch definitivo del malware nei sistemi infetti e oramai controllati dagli organi di polizia, dando il giusto tempo agli amministratori delle aziende vittime coinvolte nella catena infettiva del malware, per eseguire un’analisi forense e verificare ulteriori infezioni correlate.

Infine, la polizia nazionale ucraina, in occasione del comunicato ufficiale, ha pubblicato in rete un video del blitz eseguito dai suoi agenti e che ha portato al sequestro di computer, dischi rigidi e grandi quantità di denaro.

LadyBird: quale lezione dallo smantellamento della botnet Emotet

Come rimarcato dalla stessa Europol, è fondamentale per evitare di cadere vittima di botnet sofisticate come Emotet (entità polimorfica) oltre che diffondere consapevolezza (sensibilizzando gli utenti a controllare attentamente la propria posta evitando di aprire messaggi e allegati da mittenti sconosciuti e/o che implorano un senso di urgenza), adottare una combinazione di strumenti di sicurezza di nuova generazione e capaci di rilevare anche codice malware di cui non si posseggono ancora le firme.

Attenzione, però: l’operazione LadyBird potrebbe essere solo una battaglia vinta. Non si può escludere, infatti, che eventuali operatori scampati ai raid investigativi possano sviluppare in futuro nuove varianti di Emotet con caratteristiche e capacità aggiornate.

Infine, un piccolo inciso: è deludente costatare l’assenza dell’Italia dalla task force internazionale costituitasi per smantellare la botnet Emotet. Di certo competenze e professionalità non sarebbero mancate per dare un prezioso contributo. Ma questa è un’altra storia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5