Emotet è un malware altamente sofisticato e distruttivo che sta causando enormi problemi alle organizzazioni di tutto il mondo.

Il malware Emotet è emerso per la prima volta nel 2014 come un trojan bancario progettato per rubare le credenziali bancarie e altri dati sensibili. Tuttavia, negli ultimi 5 anni, il  Il malware si è rapidamente evoluto in una delle minacce informatiche più pericolose al mondo.

Secondo un avviso della US Homeland Security pubblicato nel 2018, “Emotet continua a essere tra le minacce informatiche più costose e distruttive che colpiscono i governi statali, locali, tribali e territoriali (SLTT) e i settori pubblico e privato”. È difficile da combattere e le infezioni da Emotet sono costate ai governi SLTT fino a 1 milione di dollari per incidente da rimediare”.

Perché il malware Emotet è così pericoloso?

Malware Emotet

Il malware Emotet sfrutta le sue capacità di worm per diffondersi rapidamente ad altri computer collegati in rete. Ciò significa che l’infezione può diffondersi a macchia d’olio in un’organizzazione senza alcuna interazione da parte dell’utente.

Ha inoltre acquisito nuove funzionalità che lo rendono ancora più minaccioso. Emotet è in grado di aggiungere una macchina infetta a una botnet per eseguire  Attacchi DDoS o possono essere combinati con altre forme di ransomware per ottenere la massima distruzione.

Il malware è estremamente versatile e viene adottato da molti gruppi informatici grazie al suo comportamento polimorfico. Può infatti cambiare ogni volta che viene scaricato per eludere il rilevamento degli antivirus basato sulle firme.

C’è stato un picco massiccio di attacchi Emotet in tutto il mondo e nel febbraio 2018 la città di Allentown, in Pennsylvania, è stata messa in ginocchio dall’attacco del malware autoreplicante.

Alcuni dei sistemi finanziari e pubblici della città hanno dovuto essere chiusi e si ritiene che l’attacco sia costato alla città circa 1 milione di dollari di danni.

In che modo il malware Emotet infetta le macchine e si diffonde?

come emotet infetta le macchine

La maggior parte delle infezioni da Emotet inizia con una semplice Email di phishing. L’email può sembrare provenire da una fonte legittima con il marchio e i loghi ufficiali di un’azienda nota. Come in tutte le email di phishing, l’obiettivo finale è quello di spingere il destinatario a cliccare su un link dannoso o a scaricare un allegato.

Non appena il destinatario clicca sul link o apre un file, abilita inconsapevolmente le macro che avviano il processo di infezione. Non appena il dispositivo viene infettato, Emotet inizierà a cercare di diffondersi ad altri dispositivi della rete.

Il malware Emotet scansiona gli elenchi di contatti e inizia a bombardare tutti i membri dell’elenco con email dannose. Poiché l’email sembra provenire da una fonte affidabile, gli utenti saranno più propensi a cliccare sui link che la accompagnano o ad aprire un allegato.

Se è presente una rete connessa, Emotet tenterà di diffondersi utilizzando un attacco di forza bruta. Proverà diverse combinazioni di nomi utente e password per vedere se riesce ad accedere alla rete in questo modo.

Un altro modo in cui Emotet si propaga è sfruttando le vulnerabilità Eternal Blue/Double Pulsar. Si tratta delle stesse vulnerabilità che sono state sfruttate nei famigerati attacchi WannaCry e NotPetya che hanno causato enormi disagi a livello globale.

Cosa puoi fare per prevenire l’infezione da Emotet?

come prevenire il malware emotet

  • Mantieni il tuo software aggiornato con le ultime patch di sicurezza di Microsoft – il malware Emotet spesso sfrutta le patch di sicurezza di MicrosoftVulnerabilità di Windows Eternal Blue. Le patch regolari risolvono le vulnerabilità di sicurezza, rimuovono le funzioni obsolete e aggiornano i driver.

  • Segui le buone pratiche di sicurezza per ridurre al minimo il rischio di infezione – Evita di cliccare su link o scaricare allegati da fonti sconosciute. Le bandiere rosse possono essere: un saluto generico, una grammatica scorretta, un linguaggio minaccioso, un URL non corrispondente, errori di ortografia, richieste di premi o di informazioni sensibili come il nome utente o la password.

  • Formazione sulla sicurezza informatica – Le infezioni da Emotet dipendono in larga misura dall’apertura di un’e-mail di phishing da parte dell’utente. Per assicurarsi che i dipendenti siano in grado di riconoscere efficacemente queste minacce, è fondamentale che ricevano regolarmente  formazione sulla sicurezza informatica. La formazione aiuterà il personale a difendere la tua organizzazione e a ridurre la probabilità che le reti vengano infettate da Emotet.

  • Usa un software antivirus – il malware Emotet è riuscito a evitare il rilevamento da parte di molte soluzioni software antivirus. Tuttavia, è comunque fondamentale investire in un software affidabile.  soluzione antivirus che utilizza la tecnologia di blocco del comportamento oltre alla protezione basata sulle firme.

  • Crea una password forte e complessa – A Una password forte dovrebbe avere una lunghezza compresa tra 8 e 15 caratteri, un mix di lettere maiuscole e minuscole e includere numeri o simboli. Una passphrase può essere utilizzata anche per memorizzare password più lunghe e complesse. Per rendere sicura la passphrase: Usa una frase facile da ricordare ma casuale, aggiungi spazi, sostituisci le lettere con numeri e aggiungi altri caratteri per renderla ancora più sicura.

  • Usa l’autenticazione a due fattori (2FA) – L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza al processo di autenticazione, rendendo più difficile per un hacker l’accesso al dispositivo di una persona. Oltre alla password, l’autenticazione a due fattori richiede una seconda informazione per confermare l’identità dell’utente.

  • Banner di email esterne – Utilizza un banner di email per notificare ai dipendenti che un’email proviene da una fonte esterna.

  • Blocca i file e gli allegati discutibili – Considera di bloccare gli allegati comunemente associati a malware, come .dll e .exe, e gli allegati che non possono essere scansionati da un software antivirus, come i file .zip.

Come rimuovere il malware Emotet da un dispositivo infetto

Come rimuovere emotet da un dispositivo infetto

Come abbiamo visto sopra, il malware Emotet può diffondersi rapidamente ad altri computer collegati alla rete se non viene contenuto ed eliminato il prima possibile. Se ritieni che il tuo dispositivo o la tua rete siano stati compromessi da Emotet, devi adottare immediatamente le seguenti misure:

  • Esegui una scansione antivirus del sistema e agisci per isolare i computer infetti in base ai risultati.

  • Identifica, spegni e rimuovi dalla rete tutti i computer infetti.

  • Prendi in considerazione la possibilità di mettere temporaneamente offline la rete per bloccare la diffusione del malware.

  • Identificare la fonte dell’infezione.

  • Pulisci ogni computer uno per uno per evitare di essere reinfettato.

  • Cambia e aggiorna le password delle credenziali di dominio e locali.

Il phishing è la prima causa di tutti gli attacchi informatici e continua a rivelarsi uno dei modi più semplici per rubare dati preziosi e diffondere ransomware. MetaPhish è stato creato per fornire una potente difesa contro queste minacce e consente alle organizzazioni di scoprire quanto la loro azienda sia suscettibile al phishing. Contattaci per avere maggiori informazioni su come MetaPhish può essere utilizzato per proteggere la tua azienda.