Una buona notizia dal mondo del malware: è stato messo fuori uso Emotet, uno dei
malware più diffusi del pianeta, responsabile di circa il 30% di tutti gli
attacchi informatici degli ultimi anni.
Già questo è un bel risultato, ma c’è di meglio, perché le forze dell’ordine
di vari paesi, coordinate da Europol ed Eurojust, che hanno
messo a segno
questo successo hanno preso le redini del sistema usato per controllare il
malware e lo useranno per ripulire i computer delle vittime il prossimo 25
aprile.
Emotet circolava dal 2014, evolvendosi e aggiornandosi. Colpiva solitamente
tramite allegati Word infetti: se chi li riceveva li apriva e attivava le
macro, sul suo computer veniva scaricato automaticamente Emotet, che si
installava e poi scaricava altro malware, tentando di diffondersi nella rete
locale della vittima. Un sistema semplice e classico, ma molto efficace. Ogni
giorno i gestori di Emotet spedivano circa mezzo milione di mail infette, e
per la legge dei grandi numeri c’era sempre qualcuno che ci cascava.
Emotet era una sorta di piede di porco: scardinava la porta d’ingresso in modo
che potessero entrare gli altri componenti dell’attacco. A seconda dei casi,
potevano essere programmi per il furto di dati, trojan per il comando
remoto, o ransomware per bloccare i computer o l’accesso ai dati della
vittima e chiedere un riscatto per riattivarli.
Video clip from the big Emotet malware takedown this week. Notice the gold bars. Video source: National Police of Ukraine pic.twitter.com/obBk3YxvWl
— @mikko (@mikko) January 27, 2021
Questo malware era polimorfico, ossia cambiava il proprio codice in
continuazione, per cui molti antivirus faticavano a riconoscerlo.
Se volete sapere se il vostro indirizzo di mail è stato compromesso da Emotet,
potete consultare
questa pagina del sito della polizia olandese, che ha materialmente sequestrato due dei tre centri di controllo di Emotet,
situati nei Paesi Bassi, trovando un archivio di circa 600.000 indirizzi di
mail con relative password.
La polizia olandese ha ora preso il comando di questi centri di controllo e li
ha usati per diffondere a tutti i computer infettati una versione modificata
di Emotet, che si disinstallerà automaticamente il 25 aprile.
Come mai si aspetta così a lungo invece di disinstallarlo subito? Perché in
questo modo le aziende colpite hanno il tempo di effettuare controlli interni
alla ricerca di eventuali altri malware installati da Emotet.
Evitare questo genere di attacco richiede precauzioni semplici e banali:
tenere sempre aggiornati i propri antivirus e gli altri software di
protezione, fare sempre gli aggiornamenti dei sistemi operativi e delle
applicazioni, usare password differenti e difficili, e diffidare degli
allegati non richiesti. Ma soprattutto non bisogna mai, mai, mai abilitare le
macro nei documenti Word, a meno che si sia sicurissimi dell’affidabilità
della fonte e ci sia una ragione plausibile e importante per abilitarle.
In questo video della polizia ucraìna si vede quella che dovrebbe essere una delle sedi usate dai criminali per gestire Emotet appunto in Ucraìna. È parecchio diversa dal covo asettico di supercattivi della mitologia informatica. Computer accatastati e semiaperti, in equilibrio precario, e Windows 7 SP1.
Fonti aggiuntive:
Tripwire
(che indica erroneamente il 25 marzo),
ZDNet.