A quasi un anno dall’operazione internazionale di polizia coordinata dall’Europol che ha permesso di cancellare Emotet da tutti i computer infetti a livello globale, il malware considerato il più pericoloso del mondo è tornato a colpire e sta ricostruendo la sua botnet servendosi di Trickbot come punto di ingresso sui sistemi precedentemente infettati da quest’ultimo.
Vi condivido un breve commento di Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace, su come si sia evoluta questa pericolosa minaccia.
Il ritorno di Emotet non dovrebbe stupire, dato che lo scenario della cybersecurity è sempre in evoluzione e le minacce vengono aggiornate continuamente.
All’inizio di quest’anno le forze dell’ordine a livello globale hanno abbattuto l’infrastruttura di supporto della botnet Emotet, ma gli autori degli attacchi non sono mai stati identificati e assicurati alla giustizia. Ora hanno trovato un nuovo modo per colpire e sembrano essere più forti che mai.
Storicamente, il malware Emotet veniva distribuito durante la prima fase di un attacco e fatto penetrare in un’organizzazione tramite un’email di spear-phishing convincente, nascosto in un documento di Office allegato e pronto a colpire. Successivamente, i criminali potevano sfruttare questo punto di ingresso per infiltrare altro malware, incluso un TrickBot o QakBot, utilizzato prima della distribuzione del ransomware.
Ora, con questo ultimo sviluppo, sembra che gli aggressori utilizzino le vittime di TrickBot per installare Emotet (quindi con un processo inverso rispetto al passato). Il nuovo sviluppo e il miglioramento di questo malware dimostrano una tendenza in evoluzione che vede più gruppi di hacker cooperare insieme come parte di un modello di “crimeware-as-a-service”, il che significa che essenzialmente gli sviluppatori di Emotet pagano gli sviluppatori di TrickBot per distribuire Emotet per loro conto.
Sebbene promuovere campagne coordinate da parte delle forze dell’ordine rappresenti una buona strategia per abbattere l’infrastruttura di questi gruppi, si tratta purtroppo solo di soluzioni temporanee. Come abbiano notato anche in questo caso, la motivazione finanziaria che spinge i gruppi hacker a tornare all’attacco è troppo forte e solo le tecnologie in grado di fermare gli attacchi non appena si verificano consentiranno di scoraggiare questi gruppi nel lungo termine.