Il Centro nazionale per la cibersicurezza svizzero (NCSC) ha pubblicato pochi giorni fa un avviso che segnala il ritorno di Emotet, un malware che il Centro non esita a definire “il malware più pericoloso al mondo”.
Si parla di ritorno perché a gennaio 2021 Europol aveva annunciato un’importante operazione contro Emotet che aveva permesso di mettere offline i server di comando e controllo e di smantellare la botnet associata a questo malware.
Ma l’NCSC riferisce che “negli ultimi giorni esperti di sicurezza di tutto il mondo hanno segnalato nuovi attacchi perpetrati con questo malware. Da un paio di giorni Emotet è presente anche in Svizzera.” Gli attacchi si basano sull’invio di mail con “allegati Excel contenenti macro nocive” e i mittenti hanno indirizzi con dominio .ch. Il Centro raccomanda pertanto di “di bloccare subito i documenti di Microsoft Office sui gateway di posta elettronica (.xlsm, .docm)”.
Un elenco dei siti infettati da Emotet è disponibile qui presso Abuse.ch.
Emotet è nato come trojan dedicato alla penetrazione dei sistemi informatici delle vittime con lo scopo di ottenere le credenziali di accesso ai loro conti bancari, ma con il passare del tempo i suoi vari gestori lo hanno trasformato in un cosiddetto dropper: un malware che fa da puro agente di penetrazione e poi, una volta arrivato a destinazione, scarica il malware vero e proprio.
Ê anche nato un vero e proprio mercato di compravendita dei siti infettati: spesso un gruppo criminale usa Emotet per entrare in un sistema informatico e poi ne vende il controllo a un altro gruppo, e così via: l’ultimo della catena di acquisti lo usa poi per installare un classico ransomware che cifra i dati della vittima, alla quale viene poi chiesto un riscatto per sbloccare i dati.
Emotet viene considerato particolarmente pericoloso anche perché il suo aspetto può ingannare anche un utente piuttosto smaliziato.
This is what it looks like out of the box on Windows 11. How on Earth is the user supposed to know this is malicious?
— Kevin Beaumont (@GossiTheDog) December 1, 2021
Trusted App ✅
Publisher Adobe Inc pic.twitter.com/eEntoWgCch
L’NCSC prosegue dicendo che una volta che Emotet è entrato in un sistema informatico “è quasi impossibile liberarsene. Ha un’elevata capacità di adattamento ed è ad esempio in grado di leggere i contatti e i contenuti delle e-mail nelle caselle di posta elettronica dei sistemi infetti”. I dati raccolti con questa tecnica consentono di “lanciare altri attacchi. Le nuove vittime ricevono e-mail fasulle apparentemente inviate da collaboratori, soci d’affari o conoscenti e vengono convinte ad aprire un documento Word e ad attivare le macro Office.”
Paradossalmente, le reti informatiche che maggiormente ospitano i siti di distribuzione di malware sono proprio quelle di Microsoft, come segnala Abuse.ch:
The top networks hosting malware distribution sites in November 2021 were...
— abuse.ch (@abuse_ch) December 1, 2021
6'961 MICROSOFT 🇺🇸
5'031 CHINA169 🇨🇳
1'973 CHINANET 🇨🇳
1'894 BSNL 🇮🇳
1'177 UNIFIEDLAYER 🇺🇸
900 WIND Telecom 🇩🇴
698 PUBLIC-DOMAIN-REGISTRY 🇮🇳
591 GOOGLE 🇺🇸
374 ALIBABA 🇨🇳
311 DROPBOX 🇺🇸
Il Centro nazionale per la cibersicurezza propone infine dei consigli per proteggersi da Emotet:
- Siate prudenti anche quando ricevete e-mail da mittenti apparentemente noti, in particolare se contengono allegati e link.
- Se sospettate che l’e-mail è fasulla contattate direttamente il mittente per verificare l’attendibilità del contenuto.
- Bloccate i documenti Office contenenti macro sui programmi di posta elettronica e proxy.
- Installate subito tutti gli aggiornamenti di sicurezza disponibili per i sistemi operativi, i browser, client di posta elettronica e programmi di Office.
- Proteggete gli accessi VPN tramite un’autenticazione a due fattori e installate le patch su tutti i dispositivi esposti.
- Effettuate regolarmente un backup dei dati su un supporto di archiviazione esterno e custoditelo offline.
- Conservate almeno due generazioni di backup.
- Le imprese dovrebbero continuamente sorvegliare gli attacchi sulle proprie reti.
- Inviate le e-mail nocive a reports@antiphishing.ch oppure segnalatele al servizio di contatto dell’NCSC tramite l’apposito modulo.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.