I ricercatori di sicurezza dei SophosLabs hanno indagato sulle attuali attività della botnet Emotet riattivata. Descrivono come Emotet attualmente utilizza CFF, una tecnica di codifica utilizzata dal malware della botnet per mimetizzarsi e nascondersi dalle misure di sicurezza.
Emotet è stato uno dei servizi di criminalità informatica e infezioni da malware più professionali e longevi nel panorama delle minacce. La botnet è diventata famosa poco dopo il suo debutto nel 2014 ed è stata fermata nel gennaio 2021 da un'operazione multinazionale delle forze dell'ordine che ne ha bloccato le attività per quasi un anno. Infine, nel novembre 2021, la botnet è riemersa ed è riapparsa sul radar di Sophos.
Emotet: Di nuovo sul radar
"Dopo quasi un anno di pausa delle forze dell'ordine, la famigerata botnet Emotet è tornata in ascesa, come evidenziato dai sandbox e dai sistemi di monitoraggio dei SophosLabs", ha affermato Andreas Klopsch, ricercatore di sicurezza presso i SophosLabs.
"Il grafico a barre in alto mostra l'emergere di Emotet rilevato nei sistemi sandbox di Sophos nel primo trimestre del 2022. Come si può vedere dal grafico, riceviamo più invii Emotet ogni giorno; presumiamo che i picchi principali ricorrenti siano campagne su larga scala. Emotet viene distribuito principalmente tramite e-mail di spam e più e-mail dannose portano naturalmente a più invii sandbox.
Inoltre, il team di ricerca ha notato che Emotet utilizza spesso CFF come acceleratore per rallentare le difese; una tecnica utilizzata dal 2020.
L'offuscamento come tattica
“CFF è una nota tecnica di offuscamento utilizzata per nascondere l'intento del malware, rendendo difficile ai difensori la comprensione e la protezione dagli attacchi. Il processo di rimozione di questa tecnica di offuscamento è chiamato "unflattening". Il nostro team di ricerca presso i SophosLabs è riuscito a scoprire la maggior parte delle funzionalità offuscate e ha rotto diversi livelli aggiuntivi di offuscamento. Questo ci permette di scavare più a fondo nel funzionamento interno di Emotet. Ciò consente alle aziende di avere un rilevamento migliore e tempi di risposta più rapidi in caso di attacco Emotet", afferma Andreas Klopsch.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.