Emotet è un malware altamente sofisticato e distruttivo che sta causando enormi problemi alle organizzazioni di tutto il mondo.
Il malware Emotet è emerso per la prima volta nel 2014 come un trojan bancario progettato per rubare le credenziali bancarie e altri dati sensibili. Tuttavia, negli ultimi 5 anni, il malware si è rapidamente evoluto in una delle minacce informatiche più pericolose del mondo.
Secondo un avviso della Homeland Security degli Stati Uniti pubblicato nel 2018, "Emotet continua ad essere tra i malware più costosi e distruttivi che colpiscono i governi statali, locali, tribali e territoriali (SLTT) e i settori pubblico e privato. È difficile da combattere e le infezioni di Emotet sono costate ai governi SLTT fino a 1 milione di dollari per incidente da rimediare."
Perché Emotet Malware è così pericoloso?
Il malware Emotet utilizza le sue capacità di worm per diffondersi rapidamente ad altri computer collegati in rete. Questo significa che l'infezione può diffondersi a macchia d'olio in un'organizzazione senza alcuna interazione dell'utente.
Ha anche guadagnato nuove funzionalità per renderlo ancora più minaccioso. Emotet può aggiungere una macchina infetta a una botnet per eseguire attacchi DDoS o può essere mescolato con altre forme di ransomware per la massima distruzione.
Il malware è estremamente versatile e viene adottato da molti gruppi informatici a causa del suo comportamento polimorfo. Può effettivamente cambiare se stesso ogni volta che viene scaricato per eludere il rilevamento Anti-Virus basato sulla firma.
C'è stato un massiccio picco di attacchi Emotet in tutto il mondo, e nel febbraio 2018, la città di Allentown, Pennsylvania è stata messa in ginocchio quando è stata attaccata con il malware autoreplicante.
Alcuni dei sistemi finanziari e pubblici della città hanno dovuto essere chiusi e si ritiene che l'attacco sia costato alla città circa 1 milione di dollari di danni.
Come fa Emotet Malware a infettare le macchine e a diffondersi?
La maggior parte delle infezioni di Emotet inizia con una semplice e-mail di phishing. L'e-mail può sembrare provenire da una fonte legittima con il marchio e i loghi ufficiali di una società ben nota. Come per tutte le e-mail di phishing, lo scopo finale è quello di spingere il destinatario a cliccare su un link dannoso o a scaricare un allegato.
Non appena il destinatario clicca sul link o apre un file, abilita inconsapevolmente le macro che avviano il processo di infezione. Non appena il dispositivo è infettato, Emotet inizierà a cercare di diffondersi ad altri dispositivi in rete.
Il malware Emotet eseguirà la scansione delle liste di contatti e inizierà a bombardare tutte le persone sulla lista con e-mail dannose. Poiché l'email sembra provenire da una fonte affidabile, gli utenti saranno più inclini a cliccare sui link di accompagnamento o ad aprire un allegato.
Se è presente una rete connessa, Emotet tenterà di diffondersi usando un attacco di forza bruta. Proverà diverse combinazioni di nomi utente e password per vedere se può accedere alla rete in questo modo.
Un altro modo in cui Emotet si propaga è attraverso lo sfruttamento delle vulnerabilità Eternal Blue/Double Pulsar. Queste sono le stesse vulnerabilità che sono state sfruttate nei famigerati attacchi WannaCry e NotPetya che hanno causato un'enorme interruzione globale.
Cosa si può fare per prevenire l'infezione da Emotet?
- Mantenete il vostro software aggiornato con le ultime patch di sicurezza di Microsoft - il malware Emotet spesso sfrutta la vulnerabilità Eternal Blue di Windows. Le patch regolari correggono le vulnerabilità di sicurezza, rimuovono le funzioni obsolete e aggiornano i driver.
- Segui le buone pratiche di sicurezza per minimizzare il rischio di infezione - Evita di cliccare su link o scaricare allegati da fonti sconosciute. Le bandiere rosse possono includere: un saluto generico, scarsa grammatica, linguaggio minaccioso, un URL non corrispondente, errori di ortografia, richieste di premi o una richiesta di informazioni sensibili come un nome utente o una password.
- Formazione sulla consapevolezza della sicurezza informatica - Le infezioni di Emotet si basano molto sull'apertura di un'e-mail di phishing da parte di un utente. Per garantire che i dipendenti siano in grado di riconoscere efficacemente queste minacce, è fondamentale che ricevano regolarmente una formazione sulla consapevolezza della sicurezza informatica. La formazione aiuterà il personale a difendere la vostra organizzazione e a ridurre la probabilità che le reti vengano infettate da Emotet.
- Usa un software antivirus - il malware Emotet ha avuto un grande successo nell'evitare il rilevamento da molte forme di soluzioni software antivirus. Tuttavia, è ancora di vitale importanza investire in una soluzione antivirus degna di fiducia che utilizza la tecnologia di blocco del comportamento oltre alla protezione basata sulla firma.
- Crea una password forte e complessa - Una password forte dovrebbe essere lunga tra gli 8 e i 15 caratteri, un mix di lettere maiuscole e minuscole e includere numeri o simboli. Una passphrase può anche essere usata per memorizzare password più lunghe e complesse. Per rendere sicura la passphrase: Usa una frase facile da ricordare ma casuale, aggiungi spazi, sostituisci le lettere con numeri e aggiungi altri caratteri per renderla ancora più sicura.
- Usa l'autenticazione a due fattori (2FA) - L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza al processo di autenticazione, rendendo più difficile per un hacker ottenere l'accesso al dispositivo di una persona. Oltre alla password, l'autenticazione a due fattori richiede una seconda informazione per confermare l'identità dell'utente.
- Banner email esterno - Usa un banner email per notificare ai dipendenti che un'email proviene da una fonte esterna.
- Blocca i file e gli allegati discutibili - Considera di bloccare gli allegati che sono comunemente associati al malware, come .dll e .exe, e gli allegati che non possono essere scansionati dal software antivirus, come i file .zip.
Come rimuovere Emotet Malware da un dispositivo infetto
Come abbiamo visto sopra, il malware Emotet può diffondersi rapidamente ad altri computer connessi alla rete, a meno che non venga contenuto ed eliminato il più rapidamente possibile. Se credete che il vostro dispositivo o la vostra rete siano stati compromessi da Emotet, dovreste immediatamente prendere i seguenti provvedimenti:
- Eseguire una scansione antivirus sul sistema e agire per isolare qualsiasi computer infetto in base ai risultati.
- Identificare, spegnere e togliere dalla rete qualsiasi computer infetto.
- Considerate la possibilità di mettere temporaneamente la rete offline per fermare la diffusione del malware.
- Identificare la fonte dell'infezione.
- Pulite ogni computer uno per uno per evitare di essere reinfettati.
- Cambia e aggiorna le password per il dominio e le credenziali locali.
Ilphishing è la causa numero uno di tutti gli attacchi informatici e continua a dimostrarsi uno dei modi più semplici per rubare dati preziosi e fornire ransomware. MetaPhish è stato creato per fornire una potente difesa contro queste minacce e permette alle organizzazioni di scoprire quanto la loro azienda sia suscettibile al phishing. Contattaci per ulteriori informazioni su come MetaPhish può essere utilizzato per proteggere la tua azienda.