L'ANALISI TECNICA

Francoforte colpita dal malware Emotet, spenta la rete IT: quale lezione per tutti

Un attacco informatico (prontamente bloccato) compiuto mediante il malware Emotet e mirato verso un dipendente comunale della città di Francoforte ha costretto le autorità a spegnere la rete IT, lasciando la città isolata da Internet: una scelta senza precedenti che può rappresentare un’utile lezione per tutti in tema di sicurezza informatica

20 Dic 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


La città Francoforte è stata costretta a spegnere la rete IT in seguito ad un attacco informatico compiuto mediante il malware Emotet.

“Tutti i sistemi IT sono stati chiusi per motivi di sicurezza, la città non è accessibile online”, ha dichiarato Günter Murr, portavoce della città di Francoforte.

Il focolaio d’infezione è stato un’e-mail malevola inviata a un dipendente e utilizzata per distribuire il malware Emotet.

Emotet: il banking trojan colpisce ancora

Emotet è una famiglia di banking trojan caratterizzata da un’architettura modulare, tecniche di persistenza avanzate e capacità di diffusione automatica simile a quello dei worm. Solitamente viene distribuito attraverso campagne di e-mail fraudolente che utilizzano tecniche di social engineering per rendere plausibile e quindi maggiormente ingannevole il contenuto dei messaggi, così da indurre le vittime a scaricare e aprire gli allegati malevoli.

Emotet viene spesso utilizzato come downloader o dropper di altri malware, tra cui i trojan bancari TrickBot, Zeus Panda e IcedID e, in tempi più recenti, anche ransomware (UmbreCrypt).

A causa del suo elevato potenziale distruttivo è stato oggetto di bollettini di sicurezza da parte di CERT di mezzo mondo a partire dal 2018.

Città di Francoforte sotto attacco: i dettagli

Tornando alla città di Francoforte, mercoledì 18 dicembre, è stata inviata un’e-mail con il malware Emotet a un impiegato presso un ufficio comunale.

WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

Il messaggio malevolo è stato camuffato come una comunicazione di servizio da parte di una delle tante società comunali che orbitano attorno al comune tedesco.

I sistemi di sicurezza si sono attivati immediatamente dopo aver rilevato il malware e hanno fatto scattare un alert dopo l’apertura dell’e-mail infetta.

I responsabili del dipartimento IT della città, messi al corrente del tentativo di violazione, hanno ipotizzato di essere sotto attacco e che quella e-mail non fosse l’unica infetta contenete Emotet al momento in circolazione.

In seguito alle valutazioni di sicurezza effettuate, hanno quindi preso la decisione più drastica, ovvero spegnere tutti i sistemi informatici per procedere ad una bonifica totale di tutti gli apparati al termine della quale sarebbero stati nuovamente riattivati

La chiusura di una rete IT è una decisione che comporta perdite finanziarie sia per le organizzazioni pubbliche che private e nessun amministratore di sistema vorrebbe mai intraprendere questo passo.

Tuttavia, gli esperti di sicurezza di BSI, l’agenzia tedesca per la sicurezza informatica, riconoscendo il rischio derivante da un’infezione causata dal banking trojan Emotet hanno confermato che “spegnere tutto” era la soluzione migliore per scongiurare che un incidente grave potesse trasformarsi in un disastro per la città.

Come conseguenza, i cittadini di Francoforte sono rimasti senza gran parte dei servizi forniti dalla pubblica amministrazione collegati alla rete infetta, ad esclusione dei servizi di emergenza che utilizzano una rete isolata dal sistema compromesso.

Attacchi malware in Germania: i precedenti

Le infezioni con questo particolare malware in Germania non sono una sorpresa.

Nelle ultime settimane la banda di Emotet ha iniziato a prendere di mira le società tedesche con una frequenza senza precedenti.

Lo stesso giorno in cui sono state infettate le città di Francoforte e Bad Homburg vor der Höhe, la BSI ha inviato un avviso di sicurezza avvertendo le organizzazioni tedesche di tutto il paese che sarebbero potute diventare il target di una campagna di spam di e-mail usate dai criminal hacker per diffondere Emotet.

Quale lezione per tutti

In passato ci sono stati altri casi di città che hanno deciso di chiudere le loro reti IT in seguito ad un cyber attacco mirato contro le infrastrutture critiche. Ciò, però, è accaduto a causa di attacchi ransomware. Quello che stanno facendo le città tedesche è un atteggiamento totalmente nuovo che non ha precedenti.

Nessuna alta città in Europa ha reagito in questo modo in caso di infezione da Emotet.

È dunque opportuno prendere spunto da questi episodi e suggerire alle prossime vittime di chiudere e affrontare l’infezione da Emotet prima che si trasformi in qualcosa di peggio, come il ransomware.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Cloud storage

Nella giornata di oggi, 20 dicembre, la città di Francoforte è tornata gradualmente online.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4