• IL NOSTRO NETWORK:
  • The Innovation Group
  • Technopolis
  • ictBusiness.it
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Emotet è tornato (di nuovo), si è trasformato e fa ancora paura

Il famigerato malware, già messo a tacere nel 2020, sta di nuovo circolando in una nuova versione. Tra le novità, l'integrazione di file XLS e XLM.

Pubblicato il 17 novembre 2021 da Redazione

Definito a più riprese come il malware più pericoloso degli ultimi anni, Emotet è l’Araba Fenice dello scenario cybercriminale o uno zombie che ritorna in vita anche quando sembrava definitivamente sepolto. Il famoso trojan bancario, diffuso via spam e capace di installare una backdoor nei dispositivi infettati, è rimasto in circolazione per anni e dopo la sua ricomparsa a inizio 2020 il gruppo cybercriminale che ne tirava le fila era stato trovato e smantellato con mobilitazione di grandi forze, inclusi l’Europol e l’Fbi.

Nel frattempo Emotet si era già evoluto e trasformato, prestandosi anche a operare come botnet per diffondere altro malware attraverso la rete dei dispositivi da lui infettati. Ora, però, diverse aziende e ricercatori di cybersicurezza hanno segnalato il ritorno di Emotet in una diversa forma. Gruppi cybercriminali stanno usando un altro famigerato malware-botnet, TrickBot, per installare Emotet su macchine Windows compromesse.

G Data, società di cybersicurezza tedesca, ha per esempio osservato numerosi episodi in cui Trickbot ha tentato di installare una libreria a collegamento dinamico (DLL) sul sistema target. Tali DLL sono state identificate come appartenenti a Emotet e rappresentano, secondo G Data, una "reincarnazione" del malware messo a tacere nel 2020. Al momento questa “reincarnazione” non sta agendo come botnet ma potrebbe iniziare a farlo prossimamente. Anche secondo un ricercatore di Team Cymru, azienda che nel 2020 ha contribuito a smantellare la campagna di Emotet, ci sono segnali di una relazione tra la vecchia e la nuova variante.

Anche Proofpoint è testimone del ritorno di Emotet: a suo dire, la nuova variante è all’opera con l’invio di messaggi a organizzazioni governative, non-profit e aziende private (soprattutto dei settori dei servizi finanziari, assicurativo, trasporti, tecnologico e manifatturiero), prevalentemente negli Stati Uniti e in Canada. “Non sembrano essere test, sono campagne attive e una delle differenze principali rispetto al passato è nel volume, per ora più contenuto: erano stati rilevati oltre 50.000 messaggi prima delle azioni internazionali legislative”, ha spiegato Sherrod DeGrippo, vice president, Threat Research and Detection di Proofpoint. “Tra le novità, l'integrazione di file XLS e XLM: se un utente abilita le macro, procede all’installazione di Emotet. L'attore ha anche sostituito la crittografia RSA delle Api con la Ecc (Elliptic-curve cryptography) e continuiamo a vedere thread hijacking, nomi di allegati simili, e l'uso di documenti Word e file ZIP protetti da password, come osservato in precedenza, mentre un determinato numero di nomi di file sembra legittimo”. 

“Gli Url dei payload”, ha proseguito il ricercatore, “sono ancora distribuiti in set di sette, insieme alla stessa generazione di ID Botnet, per citarne alcuni. Sulla base di alcune infrastrutture osservate nelle campagne da Proofpoint, gli attori stanno facendo leva su fornitori di hosting per scalare le operazioni. Emotet è stato per anni una delle minacce costanti di maggior volume su Internet per anni, questo ritorno è significativo e rappresenta un rischio importante per la postura di sicurezza delle organizzazioni”.

 
Tag: malware, botnet, Proofpoint, attacchi, cybersicurezza, emotet

MALWARE

  • Malware “commodity” e ransomware, due pericoli coesistenti
  • Malware bancari travestiti da antivirus su Google Play Store
  • Italia prima in Europa per attacchi malware nel 2021
  • Il phishing spopola, ma i ransomware fanno più paura
  • Cyberattacchi dalla Russia con HermeticWiper, l’Italia è a rischio?

NEWS

  • Un dispositivo indossabile rileva i casi di covid asintomatico
  • Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
  • Tra cyberwar e cybercrimine, il 2022 riserva ancora delle sorprese
  • Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
  • Tim, avanti con il taglio dei costi e nello sviluppo della rete
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Il cloud aiuta i partner a crescere, parola di Microsoft
La sicurezza gestita made in Italy di Sababa si estende all’OT
ThinkCentre neo 50a, l’all-in-one “intelligente” di Lenovo
Sicurezza e migrazione su Microsoft, Quest Software sceglie Arrow
Vectra AI nomina Tommy Jenkins (ex Veeam) a capo del marketing
Malware “commodity” e ransomware, due pericoli coesistenti
Connettività SD-Wan e cloud trasformano la biofarmaceutica
Samsung cresce in ricavi e profitti, ma la domanda potrà calare
Le informazioni sul Tour de France passano per il gemello digitale
Accenture, Marco Molinaro guida l'area cybersicurezza in Italia
Con Avm, Pnrr e smart working diventano opportunità di business
Modernizzare le app non basta, bisogna pensare alle operations
Google e Unioncamere hanno formato 43mila persone in due anni
Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
Tecnologie per contact center, Medallia si prepara a un’acquisizione
Genya, un software gestionale che cambia la vita
Engineering, Guido Porro è executive vice president enterprise
Sanjay Poonen passa da Vmware a Cohesity per diventare Ceo
Elon Musk al contrattacco, fa causa a Twitter a sua volta
Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
Un dispositivo indossabile rileva i casi di covid asintomatico
Battuta d’arresto per Alibaba, la prima dopo una lunga crescita
Tra cyberwar e cybercrimine, il 2022 riserva ancora delle sorprese
Ivanti e SentinelOne unite nella lotta alle vulnerabilità nascoste
Tim, avanti con il taglio dei costi e nello sviluppo della rete
La Robotic Process Automation cresce e va verso l’iperautomazione
Sanjay Poonen passa da Vmware a Cohesity per diventare Ceo
Google e Unioncamere hanno formato 43mila persone in due anni
Elon Musk al contrattacco, fa causa a Twitter a sua volta
Engineering, Guido Porro è executive vice president enterprise
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Strategie di canale
The Innovation Group
Technopolis
indigo logo tig logo
© 2022 The Innovation Group, via Palermo 5, 20121 Milano | P.IVA 06750900968