Cerca nel blog

2021/12/02

Allerta per Emotet, che usa i documenti Microsoft Office per vuotare i conti bancari

Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.

Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.

Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.

Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.

Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.

Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.

Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.

L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”

Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:

Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:

  • Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
  • Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
  • Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
  • Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
  • Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
  • Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
  • Conservate almeno due generazioni di backup.
  • Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
  • Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.

Nessun commento: