Il
Centro nazionale per la cibersicurezza
svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno
di Emotet, un malware che il Centro non esita a definire
“il malware più pericoloso al mondo”.
Si parla di ritorno perché a gennaio 2021 Europol aveva
annunciato
un’importante operazione contro Emotet che aveva permesso di mettere offline i
server di comando e controllo e di smantellare la botnet associata a
questo malware.
Ma l’NCSC riferisce che
“negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato
nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è
presente anche in Svizzera.”
Gli attacchi si basano sull’invio di mail con
“allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi
con dominio .ch. Il Centro raccomanda pertanto di
“di bloccare subito i documenti di Microsoft Office sui gateway di posta
elettronica (.xlsm, .docm)”.
Un elenco dei siti infettati da Emotet è disponibile
qui presso Abuse.ch.
Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici
delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti
bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato
in un cosiddetto dropper: un malware che fa da puro agente di
penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero
e proprio.
Ê anche nato un vero e proprio mercato di compravendita dei siti infettati:
spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e
poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena
di acquisti lo usa poi per installare un classico ransomware che cifra
i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i
dati.
Emotet viene considerato particolarmente pericoloso anche perché il suo
aspetto può ingannare anche un utente piuttosto smaliziato.
This is what it looks like out of the box on Windows 11. How on Earth is the
user supposed to know this is malicious?Trusted App ✅
Publisher
Adobe Inc pic.twitter.com/eEntoWgCch— Kevin Beaumont (@GossiTheDog)
December 1, 2021
L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema
informatico
“è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed
è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle
caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di
“lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle
apparentemente inviate da collaboratori, soci d’affari o conoscenti e
vengono convinte ad aprire un documento Word e ad attivare le macro
Office.”
Paradossalmente, le reti informatiche che maggiormente ospitano i siti di
distribuzione di malware sono proprio quelle di Microsoft, come segnala
Abuse.ch:
The top networks hosting malware distribution sites in November 2021
were…6’961 MICROSOFT 🇺🇸
5’031 CHINA169 🇨🇳
1’973
CHINANET 🇨🇳
1’894 BSNL 🇮🇳
1’177 UNIFIEDLAYER 🇺🇸
900 WIND
Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374
ALIBABA 🇨🇳
311 DROPBOX 🇺🇸— abuse.ch (@abuse_ch)
December 1, 2021
Il Centro nazionale per la cibersicurezza propone infine dei consigli per
proteggersi da Emotet:
- Siate prudenti anche quando ricevete e-mail da mittenti apparentemente
noti, in particolare se contengono allegati e link.- Se sospettate che l’e-mail è fasulla contattate direttamente il mittente
per verificare l’attendibilità del contenuto.- Bloccate i documenti Office contenenti macro sui programmi di posta
elettronica e proxy.- Installate subito tutti gli aggiornamenti di sicurezza disponibili per i
sistemi operativi, i browser, client di posta elettronica e programmi di
Office.- Proteggete gli accessi VPN tramite un’autenticazione a due fattori e
installate le patch su tutti i dispositivi esposti.- Effettuate regolarmente un backup dei dati su un supporto di archiviazione
esterno e custoditelo offline.- Conservate almeno due generazioni di backup.
- Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie
reti.- Inviate le e-mail nocive a
reports@antiphishing.ch oppure
segnalatele al
servizio di contatto dell’NCSC tramite l’apposito modulo.