L’infrastruttura della famigerata botnet Emotet è stata di nuovo bersaglio di un attacco coordinato da Europol e Eurojust, culminata nel down dell’infrastruttura stessa. L’operazione di attacco ha consentito ad una commissione di forze dell’ordine e authority inglese, statunitense, francese, lituana, ucraina, canadese e olandese di prendere il controllo dei server e interrompere le operazioni malware.
L’operazione ha avuto luogo dopo un ampio sforzo investigativo globale, col supporto di alcune autorità giudiziarie: l’infrastruttura è stata abbattuta dall’interno una volta ottenuti i controllo di amministrazione dei server all’inizio di questa settimana.
“L’infrastruttura utilizzata da Emotet comprendeva centinaia di server dislocati in tutto il mondo, tutti dotati di funzionalità per gestire i computer infetti delle vittime e organizzare infezioni ulteriori, per supportare altri gruppo criminali e, infine, per rendere la rete più resiliente ai tentativi di takedown” ha dichiarato l’Europol.
“Le macchine infette delle vittime sono adesso reindirizzate verso questa infrastruttura controllata dalle forze dell’ordine. Si tratta di un nuovo e unico approccio per riuscire a interrompere efficacemente le attività di coloro che vivono e facilitano la criminalità informatica“.
Per chi volesse verificare l’eventuale compromissione del proprio indirizzo email e quindi del proprio pc, la Polizia Nazionale olandese ha messo a disposizione un apposito portale: questo servizio verifica la presenza della email inserita in un database contenente indirizzi email, nome utente e password rubati da Emotet: il database è stato riscostruito dalla Polizia Olandese durante le indagini penali scaturite poi nell’attacco e nel takedown della botnet.
Emotet in breve: la più grande botnet esistente
Il malware Emotet è stato individuato per la prima volta nel 2014 ed aveva una sola definizione possibile: era un trojan bancario, specializzato nel furto di credenziali bancarie e dei dati delle carte di credito. E’ poi piano piano evoluto in una botnet usata da uno specifico gruppo di attaccanti (TA542, anche detti Mummy Spider) per distribuire ulteriori payload malware di secondo stadio. Tra questi, Emotet distribuisce sulle macchine delle proprie vittime i payload dei trojan QakBot e TrickBot (quest’ultimo, a sua volta, ha accordi di distribuzione con i gestori dei ransomware Ryuk e Conti).
Per dirla in breve, con le parole dell’Europol: “l’infrastruttura di Emotet agisce essenzialmente come apri porta principale sui sistemi informatici su scala globale. Una volta stabilito l’accesso non autorizzato, questo viene venduto ad altri gruppi di cyber attaccanti di alto livello per svolgere ulteriori attività illecite come il furto dati o l’estorsione ransomware“.
Emotet è stata ferma per oltre un mese, ma il 21 Dicembre 2020 è tornata “in vita” con una campagna di spam estremamente massiva individuata da Microsoft: “abbiamo individuato una campagna che vede impiegato un alto numero di esche in enormi volumi di email, compreso l’uso di false risposte o mail inoltrate fake: tutte recano allegati in formato archivio protetti da password“.
Prima di questa breve pausa, Emotet ha creato molti problemi con campagne che hanno preso di mira enti governativi statali e federali degli Stati Uniti, poi è stato deciso l’intervento.
Takedown organizzato di botnet: non è una novità
Questa operazione contro la botnet di Emotet non è una novità, anzi, è una conferma ovvero la tendenza da parte di enti governativi, forze dell’ordine e anche privati ad organizzarsi non solo per difendersi da eventuali attacchi, ma, al contrario a creare quella che si potrebbe definire come “offensive security” la cyber security ottenuta attaccando frontalmente i cyber attaccanti.
Il precedente ha visto varie forze dell’ordine, enti governativi e Microsoft colpire a più riprese l’infrastruttura di TrickBot senza però riuscire ad abbatterla.