Emotet continua ad essere più che attivo: a marzo gli attacchi con Emotet sono più che triplicati. La Germania è tra i paesi più attaccati al mondo. Il problema più grande: Emotet si diffonde tramite spam.
Emotet, il malware più pericoloso al mondo secondo Europol [1], sta attualmente "celebrando" un triste ritorno a un anno dalla sua distruzione. Secondo la telemetria di Kaspersky, il numero di attacchi tramite questa botnet è triplicato solo da febbraio a marzo 2022 [2]. Il 2,2% delle aziende e dei privati attaccati nel primo trimestre proveniva dalla Germania, che è uno dei primi 10 paesi colpiti. Questa crescita indica che, per la prima volta dal loro ritorno nel novembre 2021, gli attori delle minacce dietro la botnet hanno adottato misure concrete per intensificare nuovamente in modo significativo la loro attività dannosa.
Emotet: Sia botnet che malware
Emotet è sia una botnet che un malware ed è stato scoperto per la prima volta nel 2014. Originariamente destinato a spiare i dati di accesso per l'online banking, si è trasformato in una pericolosa botnet attraverso numerose modifiche [3]. All'inizio del 2021, Emotet è stata schiacciata grazie agli sforzi congiunti delle autorità investigative internazionali. Tuttavia, la botnet è ricomparsa nel novembre 2021 e da allora ha aumentato le sue attività. Inizialmente si è diffuso tramite il trojan bancario Trickbot [4]; ora è in grado di diffondersi da solo.
I dati di telemetria di Kaspersky mostrano un aumento del numero di vittime da 2.843 a febbraio 2022 a 9.086 a marzo. Di conseguenza, il numero di attacchi registrati è quasi triplicato durante questo periodo: da 16.897 a febbraio a 48.597 a marzo.
Emotet si diffonde tramite spam
Dal ritorno di Emotet nel novembre 2021, abbiamo osservato che la sua attività è aumentata gradualmente. Mentre era ancora 2022 nel febbraio 2.847, era già salito a 2022 nel marzo 9.086, più del triplo (Immagine: Kaspersky).
L'infezione da Emotet si verifica in genere tramite e-mail di spam con allegati di Microsoft Office che contengono macro dannose. Un comando di PowerShell scarica un caricatore. Controllato dal server di comando e controllo, scarica altri moduli dannosi con funzionalità diverse sul dispositivo infetto. I ricercatori di Kaspersky sono stati in grado di identificare e analizzare 10 moduli su 16, la maggior parte dei quali sono stati utilizzati da Emotet in una forma o nell'altra in passato.
L'attuale versione di Emotet può generare automaticamente spam, che si diffonde ulteriormente nella rete dai dispositivi infetti. Le e-mail e gli indirizzi e-mail vengono estratti dalle applicazioni Thunderbird e Outlook e le password dei browser Web più diffusi come Internet Explorer, Mozilla Firefox, Google Chrome, Safari e Opera vengono raccolte per recuperare i dati degli account e-mail di vari client di posta E-Capture.
Nuovo slancio in Emotet
“Emotet era un network molto sviluppato che affliggeva molte aziende in tutto il mondo. Il suo smantellamento ha quindi rappresentato un passo significativo verso la riduzione delle minacce globali alle reti aziendali ed ha eliminato Emotet dall'elenco delle dieci principali minacce informatiche per quasi un anno", conclude Alexey Shulmin, Security Researcher di Kaspersky. “Sebbene gli attuali numeri degli attacchi non siano paragonabili alle precedenti attività di Emotet, il rinnovato slancio indica un aumento significativo delle attività da parte degli operatori di botnet. C'è un'alta probabilità che Emotet diventi ancora più diffuso nei prossimi mesi".
Kaspersky consiglia alle aziende di proteggersi da Emotet e botnet simili
- Tieni d'occhio gli ultimi sviluppi su Emotet, ad esempio tramite il Kaspersky Resource Center [5].
- Non scaricare allegati o fare clic su collegamenti sospetti nelle e-mail di spam. Verifica le email sospette richiamando il mittente. In nessun caso è necessario soddisfare la richiesta di eseguire macro, ma eliminare immediatamente i file corrispondenti.
- Utilizzare solo online banking con autenticazione a più fattori.
- Le aziende dovrebbero anche condurre una regolare formazione dei dipendenti come Kaspersky Security Awareness [7] sulle minacce Internet e testarne l'efficacia utilizzando attacchi di phishing simulati.
Kaspersky ha pubblicato un documentario sulla lotta alla botnet Emotet sul suo canale YouTube Tomorrow Unlocked [8].
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/
, https://www.europol.europa.eu/media-press/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
, https://securelist.com/emotet-modules-and-recent-attacks/106290/
, https://securelist.com/the-chronicles-of-emotet/99660/
, https://www.kaspersky.com/blog/trickbot-new-tricks/42622/
, https://www.kaspersky.com/resource-center/threats
, https://www.kaspersky.de/internet-security
, https://www.kaspersky.de/enterprise-security/security-awareness
, https://www.youtube.com/watch?v=s3o3qOipHhk
Articoli relativi all'argomento