Un’introduzione a Emotet, il pericoloso banking trojan ancora poco conosciuto in Italia.
Ripercorriamone l’evoluzione e i motivi per cui è tanto temuto, le tecniche che utilizza e le conseguenze che un attacco di questo tipo può provocare.
Infine, individuiamo quali sono le migliori strategie per non cadere vittima del Malware che ha fatto tremare le istituzioni Statunitensi negli ultimi 24 mesi.
Emotet è nato in sordina nel 2014 come banking trojan, diffusosi perlopiù in alcune banche dell’Europa centrale. Col senno di poi poco più che prove tecniche per un diabolico tool che, di lì in poi, forte di processo evolutivo inarrestabile, è divenuto oggigiorno quello che il National Cybersecurity and Communications Integration Center (NCCIC) ha definito essere tra i malware “più dispendiosi e distruttivi che colpiscono i governi statali, locali, tribali e territoriali (SLTT) e i settori privato e pubblico“.
Nonostante la distribuzione su scala globale degli attacchi sia mutevole, allo stato attuale le aree colpite dalla minaccia web riguardano prevalentemente Stati Uniti, Gran Bretagna, Germania, Francia e Nord Europa. Relativamente all’Italia il fenomeno è ridotto, ma va specificato per completezza che come nazione figuriamo sistematicamente tra i report statistici di diversi produttori di antivirus. In altre parole non è da escludere che il trend possa crescere sensibilmente nei prossimi mesi.
Quali sono le caratteristiche che rendono Emotet così letale?
Anzitutto, trattandosi di un “worm“, basterà che una singola macchina sia vulnerabile per mettere a repentaglio l’integrità dell’intera rete. Non appena l’infezione di un terminale è giunta nella sua fase finale, Emotet tenterà subito dopo di eseguire lateral movement su altri sistemi, propagando l’infezione.
Emotet è modulare: nelle sue ultime e più sofisticate iterazioni la funzione che assume è quella di downloader di altri banking trojan, che vengono iniettati senza soluzione di continuità all’interno del sistema compromesso. Sophos stima addirittura che nelle ultime settimane, dove Emotet è riuscito ad attecchire, sia stato in grado di scaricare in media qualcosa come 300 payload giornalieri.
Proprio per questa ragione è estremamente elusivo: può cambiare i propri pattern comportamentali dinamicamente e a seconda del contesto. Ad esempio percepisce se si trova compartimentato all’interno di un ambiente virtuale, dissimulando la propria presenza grazie alla generazione di false operazioni per depistare gli analisti; o similmente, ha la capacità di perpetrare una serie di attacchi randomici, a mo’ di cortina fumogena, mascherando l’assalto effettivo di tipologia ransomware.
E’ pervasivo: può reinfettare macchine precedentemente ripulite. Vedremo alla fine dell’articolo com’è opportuno procedere in questi casi, particolarmente delicati.
Proprio riguardo alle corrette contromisure da adottare, è determinante capire con precisione quale sia il processo che Emotet impiega per infettare un computer.
Ecco passo per passo cosa accade (vedi immagine e spiegazione sottostante):
Infezione: come spesso accade il punto d’ingresso è il malspam. L’email di spam contiene allegati o link ipertestuali che rimandano a codice malevolo (tipicamente macro contenute in un documento Office) che, una volta eseguito, procede al download del malware nel computer.
Persistenza: attraverso la commandline di Windows o la Powershell vengono eseguiti i primi comandi che servono ad innervare l’infezione all’interno del registro così come nei servizi di sistema.
Istruzione: successivamente all’installazione iniziale, Emotet instaura un canale di connessione con il proprio server (in gergo, C2) richiedendo istruzioni sulle azioni successive da compiere. E’ in questa fase che il malware muta in qualcosa di veramente insidioso, poiché con l’acquisizione di nuovi payload accresce esponenzialmente le proprie funzionalità e con esse il proprio potenziale distruttivo.
Propagazione: completata la fase di “apprendimento”, Emotet è pronto per avviare l’attività vera e propria di attacco ad ampio spettro sulla rete che ospita il sistema compromesso e, in ultima istanza, esfiltrarne i dati su server esterni all’organizzazione.
I danni che può provocare Emotet, qualora l’iter appena descritto riesca a giungere alla fase finale sono ingenti.
Anzitutto l’azienda vede severamente compromessa la propria reputazione, e per la perdita di informazioni sensibili con conseguente violazione del neonato regolamento G.D.P.R. e per il volume di spam verso terzi prodotto dalla propria infrastruttura. Oltre al danno, la beffa: Emotet sfrutta le informazioni ottenute attraverso l’email skimming per alimentare i database utili alla realizzazione di futuri attacchi hacker.
Chiaramente, data la natura del malware precedentemente evidenziata, non è affatto remota l’ipotesi di una rilevante perdita economica:
diretta, ovverosia attraverso l’ottenimento di credenziali grazie a uno o più banking trojan e successiva sottrazione indebita di risorse economiche aziendali
indiretta, quindi per via dell’interruzione improvvisa della regolare attività lavorativa, per tutto il tempo necessario a ripristinare sistemi e file compromessi
I consigli per evitare di cadere nelle maglie di questa perniciosa minaccia informatica fanno sempre capo a una premessa fondamentale: il buon senso e l’essere informati.
Come abbiamo visto, il canale attraverso cui Emotet si fa strada inizialmente è l’email. L’email di per sé è innocua, occorre che una persona clicchi intenzionalmente sull’allegato o sul link per scatenare la catena perniciosa di eventi poc’anzi descritta. La social engineering riesce a far breccia nelle sacche di ignoranza. Per controbatterla è fondamentale diffondere su base costante una corretta e sana “sensibilità informatica” a tutti i livelli aziendali.
Data questa doverosa e sempre valida osservazione, ecco le misure preventive da adottare:
Assicurarsi che la protezione antivirus sia attiva e sempre aggiornata su tutti i PC aziendali
Allo stesso modo, patchare repentinamente sistema operativo e software installati per evitare vulnerabilità di sicurezza sfruttabili da malintenzionati
Bloccare, laddove non ve ne sia bisogno, la Powershell attraverso policy di dominio
In caso malaugurato Emotet sia già penetrato nel network aziendale, è imperativo prima di ogni altra cosa individuare il “paziente zero”. In questa fase critica va tenuto presente che le segnalazioni provenienti dall’antivirus potrebbero essere solo il riflesso dell’azione del sistema untore sugli altri pc della rete, laddove in realtà quest’ultimo non alza alcun segnale d’allerta perché, banalmente, non è protetto dal alcun antivirus!
Individuato il terminale compromesso, è consigliabile:
Spegnerlo e sconnetterlo dalla rete
Non escludere la possibilità di spegnere completamente l’infrastruttura di rete per evitare alla radice una propagazione a macchia d’olio
Non accedere ai sistemi infetti con credenziali amministrative di dominio
Formattare e riapplicare ai PC un’immagine integra, creata antecedentemente
Isolare i sistemi sani in un segmento di rete segregato rispetto alla parte infetta
Ideale sarebbe reimpostare tutte le password locali, di dominio e dei software o siti con sistema di autenticazione
Verificare i log e le regole associate alla mailbox Outlook dell’account infetto per scongiurare ulteriori compromissioni