mercoledì 20 aprile 2022
La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento
E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.
Emotet in breve:
Emotet è un trojan modulare con capacità di auto propagazione. Può otteneree la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta cresendo costantemente.
Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet
I ricercatori segnalano un forte incremento della botnet Emotet
Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.
Il collettivo di ricercatori di sicurezza Cryptoleaemus ha rilevato un picco nelle attività della botnet tra Febbraio e Marzo 2022: si parla di un volume di email che da 3.000 è arrivato a 30.000. La maggior parte di queste email è scritta in inglese, francese, italiano, ungherese, norvegese, polacco, russo, sloveno e cinese, che poi sono anche gli Stati dove il malware colpisce con maggior frequenza. CheckPoint non a caso riporta Emotet come la principale e più attiva minaccia malware nel Marzo 2022.
E' stato denunciato anche il fatto che Emotet faccia sempre più frequente ricorso al dirottamento delle conversazioni email: gli attaccati intercettano scambi email precedenti e inviano una email ai partecipanti. Lo scopo è quello di convicere gli utenti a scaricare un archivio ZIP e aprirlo oppure semplicemente aprire un allegato email. Dal momento che gli attaccanti hanno accesso alle conversazioni precedenti e si spacciano per uno dei partecipanti alla conversazione è molto facile che il ricevente cada nel tranello.
Una mail PEC di distribuzione di Emotet in Italia. Fonte: Onorato Informatica
Non finisce qui: il passaggio ai 64-bit
I ricercatori di Cryptoleaemus, che tengono sotto controllo l'attività di Emotet da anni, hanno anche fatto sapere che su Epoch 4 (una parte dell'infrastruttura della botnet Emotet) gli attaccanti sono passati ad usare loader e moduli infostealer a 64-bit. In precedenza tutti questi strumenti erano a 32-bit.
E' quindi in corso un test: il nuovo loader non è presente su Epoch5, altra parte dell'infrastruttura, ma come sottolineano da Cryptoleaemus il ritardo ha una spiegazione. Epoch4 è solitamente la parte dell'infrastruttra Emotet usata a fini di test per lo sviluppo (continuo, va detto) del malware. Un dato già infatti allarma: da quando il nuovo loader è in diffusione su Epoch4 il tasso di rilevamento è drasticamente sceso dal 60% al 4%.