Per qualsiasi azienda che abbia a che fare con il settore finanziario, la minaccia informatica più importante da conoscere è il malware Emotet. Questo malware fa parte della famiglia dei trojan bancari e viene distribuito con varie tecniche e canali attraverso campagne di email di spam. 

 

Segnalato per la prima volta nel 2014, Emotet ha continuato a comparire in diversi formati e versioni, a cadenza piuttosto regolare. Recentemente, parliamo del Luglio 2018, è stato oggetto di una informativa specifica del Computer Emergency Readiness Team degli Stati Uniti (US-CERT). 

 

Secondo l'avviso di sicurezza dell'US-CERT, Emotet è un trojan bancario modulare avanzato, che funziona principalmente come dropper o downloader di altri trojan bancari. Emotet continua ad essere tra i malware più costosi e devastanti tra quelli che colpiscono enti governativi e dei settori privato e pubblico. E' un trojan polimorfico dotato di una serie di accorgimenti per eludere il rilevamento più comune effettuato dai software antivirus, quello basato sulla firma. 

 

E' progettato inoltre per disporre di alcuni metodi per garantirsi la persistenza sul sistemainfetto, compreso l'inserimento di servizi e chiavi nel registro di start. Usa DLL (Dynamic Link Libraries) per evolversi continuamente ed aggiornare le proprie capacità. Può inoltre individuare le virtual machine (un accorgimento per evitare di cadere nelle mani dei ricercatori di sicurezza, che talvolta simulano ambienti reali per "attrarre" i cyber attaccanti e poter studiare quindi il codice dei malware che riescono a "catturare") e generare perfino falsi indicatori. 

 

Quando un'agenzia di sicurezza statunitense decide di rilasciare un avviso così dettagliato su un particolare tipo di malware, c'è sempre da preoccuparsi: nel momento in cui questo avviso è stato pubblicato, Seqrite ha prodotto una dettagliata analisi del malware Emotet e della sua evoluzione, che puoi consultare qui.

 

Questo malware si diffonde attraverso file PDF o JS allegati alle email di spam. Ha usato come mezzo di diffusione anche documenti Word di Office con macro dannose integrate. Tutte le email dannose che lo distribuiscono contengono o l'allegato dannoso o un link tramite il quale l'utente finisce a scaricare il malware sul sistema. Questi file contengono spesso più di una macro infetta e creano diverse copie nelle cartelle di sistema. La prima operazione compiuta dal malware è comunque quella di verificare i dettagli dei processi in esecuzione: terminata questa fase, Emotet inizia a criptare i dati e li invia ai server C&C controllati dagli attaccanti. 

 

Il Novembre 2018 ha visto un grosso picco dell'attività di Emotet, che ha seguito il modus operandi classico: diverse sono state le campagne di diffusione in questo mese, tutte contenenti file Word o PDF spacciai per documenti finanziari legittimi, fatture, estratti conti, avvisi ecc...

 

Data la pericolosità connessa a Emotet, consigliamo alle aziende e ai nostri clienti in particolare alcuni accorgimenti necessari e urgenti per ridurre il potenziale di danno di questo malware.

1. Usa una soluzione di sicurezza dotata di una protezione email e antispam solida. Seqrite Endpoint Security (EPS) offre una protezione antispam che scansiona le inbox di ogni endpoint in cerca di email di spam, email inaspettate o sospette, attacchi di phishing.
2. Implementa la protezione email anche a livello di rete. La soluzione Unified Threat Management (UTM) garantisce protezione a livello di gateway: scansiona le email e gli allegati in entrata e in uscita a livello di gateway, bloccando email di spam e phishing prima che possano entrare nella rete. 
3. Esegui gli update e mantieni sempre aggiornati i software e i sistemi operativi in uso nella rete. 
4. Crea policy specifiche riguardo le email sospette/pericolose, così che i tuoi dipendenti siano consapevoli del rischio e sappiano quali azioni mettere in campo in caso di infezione via email. 
5. Fai in modo che in azienda vi sia sufficiente conoscenza riguardo ai pericoli del phishing e dell'ingegneria sociale, così che i dipendenti possano anche riconoscere le email rischiose.