Il Trojan Emotet
Il trojan Emotet è uno dei malware più pericolosi nella storia della cybersecurity. Chiunque potrebbe essere una potenziale vittima, che si tratti di privati, aziende e anche autorità globali.
Emotet inganna gli antivirus basici per nascondendosi da essi. Una volta infettati i sistemi, il malware si diffonde come un worm cerando di infiltrarsi in altri computer nella rete.
Emotet si diffonde principalmente attraverso e-mail di spam. L’e-mail contiene un collegamento dannoso o un documento infetto. Scaricando il documento o aprendo il collegamento, vengono automaticamente scaricati altri malware nel computer. Le e-mail sono state create per sembrare molto autentiche e molte persone sono rimaste vittime di Emotet.
Cos’è Emotet?
Emotet è un malware originariamente sviluppato sotto forma di trojan bancario. L’obiettivo era quello di accedere a dispositivi stranieri e spiare i dati privati sensibili.
Emotet è stato rilevato per la prima volta nel 2014, quando i clienti di banche tedesche e austriache sono stati colpiti dal trojan. Emotet aveva ottenuto l’accesso ai dati degli account di accesso dei clienti. Negli anni successivi, il virus si è diffuso a livello globale.
Emotet si è evoluto da trojan bancario a dropper, ovvero un trojan che carica il malware sui dispositivi. Questi ultimi sono quindi i responsabili del danno effettivo al sistema.
Nella maggior parte dei casi, l’attacco del dropper ha coinvolto i seguenti programmi:
- Trickster (noto anche come TrickLoader o TrickBot): un trojan bancario che tenta di accedere ai dati degli account di accesso dei conti bancari;
- Ryuk: un trojan di criptaggio, noto anche come cryptotrojan o ransomware, che cripta i dati e quindi impedisce all’utente del computer di accedere a tali dati o all’intero sistema.
L’obiettivo dei cybercriminali che colpiscono usando Emotet è spesso quello di estorcere denaro alle loro vittime. Minacciano, ad esempio, di pubblicare o rilasciare i dati criptati a cui hanno ottenuto l’accesso.
Quali sono gli obiettivi di Emotet?
Emotet prende di mira privati, aziende, organizzazioni e autorità. Nel 2018, dopo essere stato infettato da Emotet, l’ospedale di Fuerstenfeldbruck in Germania ha dovuto arrestare 450 computer e disconnettersi dal centro di controllo dei soccorsi nel tentativo di controllare l’infezione.
A settembre 2019 è stata colpita la Corte d’Appello di Berlino, mentre a dicembre 2019 è stata la volta dell’Università di Giessen. Anche la Medical University di Hannover e l’amministrazione comunale di Francoforte sul Meno sono state vittime di Emotet.
Questi sono solo alcuni esempi di infezioni causate da Emotet, ma si stima che il numero non divulgato di aziende colpite sia molto più alto. Si presume inoltre che molte aziende infette non abbiano segnalato la violazione per paura di danneggiare la loro reputazione.
È anche importante ricordare che, mentre inizialmente Emotet prendeva di mira principalmente aziende e organizzazioni, oggi il trojan colpisce soprattutto i privati.
Come si diffonde?
Emotet viene distribuito principalmente tramite la cosiddetta raccolta Outlook. Il trojan legge le e-mail da parte degli utenti già infetti e crea contenuti ingannevolmente reali.
Queste e-mail appaiono legittime e personali, distinguendosi quindi dalle normali e-mail di spam. Emotet invia queste e-mail di phishing a contatti archiviati come amici, familiari e colleghi di lavoro. La maggior parte delle volte, le e-mail contengono un documento di Word infetto che il destinatario deve scaricare o un collegamento pericoloso. Come mittente viene sempre visualizzato il nome corretto.
I destinatari pensano così che il messaggio sia sicuro: l’e-mail sembra completamente legittima. I destinatari quindi (nella maggior parte dei casi) fanno clic sul collegamento pericoloso o scaricano l’allegato infetto.
Una volta ottenuto l’accesso a una rete, Emotet può diffondersi. Cerca quindi di decifrare le password degli account usando il metodo “brute force”. Altri modi in cui Emotet si è diffuso includono l’exploit EternalBlue e la vulnerabilità DoublePulsar in Windows, che consentiva l’installazione di malware senza l’intervento dell’utente.
Nel 2017, il trojan di estorsione WannaCry è stato in grado di sfruttare l’exploit EternalBlue per un grave cyberattacco che ha causato danni devastanti.
Quanto è pericoloso Emotet?
Il DHS (Department of Homeland Security, Dipartimento della sicurezza interna) degli Stati Uniti è arrivato alla conclusione che Emotet sia un software particolarmente costoso con un enorme potere distruttivo.
Il costo della pulizia è stimato in circa un milione di dollari USA per incidente. Per questo motivo, Arne Schoenbohm, capo dell’Ufficio federale tedesco per la sicurezza informatica (BSI), ha definito Emotet il “re del malware”.
Emotet è senza dubbio uno dei malware più complessi e pericolosi della storia. Il virus è polimorfico, ovvero il suo codice cambia leggermente ogni volta che vi si accede. Ciò rende difficile l’identificazione del virus tramite i software anti-virus, molti dei quali eseguono ricerche basate sulla firma.
Nel 2020 alcuni ricercatori hanno scoperto che Emotet attacca anche le reti Wi-Fi. Se un dispositivo infetto è connesso a una rete wireless, Emotet esegue la scansione di tutte le reti wireless nelle vicinanze. Usando un elenco di password, il virus tenta quindi di ottenere l’accesso alle reti e infettare così altri dispositivi.
Come proteggersi
Ecco alcuni suggerimenti per proteggersi da Emotet:
- Tenetersi regolarmente informati sugli sviluppi relativi al malware.
- È essenziale installare gli aggiornamenti forniti dai produttori il più rapidamente possibile per colmare possibili lacune di sicurezza. Questo vale per i sistemi operativi come Windows e macOS, nonché per tutti i programmi applicativi, i browser, i componenti aggiuntivi dei browser, i client e-mail, Office e i programmi di gestione di PDF.
- Assicurarsi di installare un programma completo di protezione da virus e malware ed eseguire regolarmente la scansione del computer alla ricerca di vulnerabilità.
- Non scaricare allegati dubbi dalle e-mail e non fate clic sui collegamenti sospetti. Se viene chiesto di consentire l’esecuzione di una macro in un file scaricato, non farlo in nessun caso, ma eliminare immediatamente il file.
- Eseguire regolarmente il backup dei dati su un dispositivo di archiviazione esterno.
- Usare solo password complesse per tutti gli account di accesso (banking online, account e-mail, negozi online).
- Configurare il computer in modo da visualizzare le estensioni dei file per impostazione predefinita. Si sarà così in grado di individuare file ambigui come “Photo123.jpg.exe”, che tendono a essere programmi dannosi.
Come si rimuove Emotet?
Prima di tutto, non farsi prendere dal panico si sospetta che il PC possa essere infettato da Emotet. Informare i vostri conoscenti dell’infezione, perché le persone nei contatti e-mail sono potenzialmente a rischio.
Assicurarsi quindi di isolare il computer se è connesso a una rete per ridurre il rischio di diffusione di Emotet. Successivamente, modificare tutti i dati di accesso per tutti i propri account (account e-mail, browser Web e così via). Eseguire questa operazione su un dispositivo separato che non sia infetto né connesso alla stessa rete.
Poiché Emotet è polimorfico (ovvero il suo codice cambia leggermente ogni volta che vi si accede), un computer pulito può essere rapidamente re-infettato se viene connesso una rete infetta.
È quindi necessario eseguire la pulizia di tutti i computer connessi alla rete, uno dopo l’altro. A tale scopo, usare un programma anti-virus. In alternativa, è anche possibile contattare uno specialista, ad esempio il fornitore di software anti-virus, per ottenere indicazioni e assistenza.
Leggi gli altri report sul blog di Telsy
Claudio Di GiuseppeVedi tutti gli articoli
Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).