L’attacco più eclatante portato a termine mediante il malware Emotet risale allo scorso 19 dicembre, quando le autorità di Francoforte furono costrette a “spegnere” la rete IT della città tedesca isolandola di fatto da Internet.
Quanto accaduto conferma che la complessità degli attacchi informatici aumenta con il passare dei giorni, così come la quantità di minacce che quotidianamente colpiscono le nostre aziende, ma tutto questo non rappresenta certo una novità.
Contrariamente a quanto conosciuto fino ad ora, un reale cambiamento è in veloce ascesa sul piano cyber. Come descritto da SentinelOne Labs in “The Hidden Link Between TrickBot Anchor and the Lazarus group”, il veloce cambiamento proviene dall’individuazione di framework cosiddetti criminali (ossia attribuiti a cyber-criminali) utilizzati per scopi di cyber spionaggio, attività tipicamente riservata ad enti governativi.
Compromettere organizzazioni strategiche da parte di attori governativi, sfruttando la pervasività di impianti criminali, è paragonabile ad un “patto” tra stato e criminalità-digitale il quale abilita nuovi scenari di attacco e aumenta, ancora una volta, la difficoltà di protezione nel digitale sia per l’impresa sia per il cittadino.
Indice degli argomenti
La nuova minaccia dei framework criminali
L’analisi approfondita di framework attribuiti a scopi criminali non ha mai del tutto destato l’interesse da parte di enti istituzionali alla difesa “cyber”, piuttosto quello di organizzazioni private devote alla difesa di industrie ed istituti bancari.
L’utilizzo del framework “TrickBot” da parte di Lazarus, noto gruppo afferente al governo nordcoreano, sfruttato per inserire nel “sistema vittima” un più complesso componente capace a sua volta di prelevare informazioni e controllare il sistema attaccato, richiede che massima attenzione venga posta anche sulle evoluzioni di framework comunemente utilizzati da criminali informatici.
Uno dei principali framework attualmente in commercio e artefice di numerose e contemporanee campagne di distribuzione di ransomware è per l’appunto Emotet: oggi una delle più diffuse minacce informatiche presenti in Europa e per questo utilizzata come esempio di analisi.
Che cos’è Emotet
Emotet è un framework molto noto nei principali market-place del Dark Web dove viene venduto “a servizio” già da diversi anni.
È in continuo miglioramento sia in nuove funzionalità che in nuovi metodi per evadere gli odierni sistemi antivirus e per questo particolarmente acclamato dai criminali digitali che ne fanno uso.
L’ ottima implementazione di “persistenza” (ovvero la capacità di insediarsi all’interno di un sistema vittima) e la sua architettura a moduli (ovvero la possibilità di attuare un’infezione a più stadi) lo rendono uno degli impianti criminali più noti e diffusi degli ultimi due anni.
Secondo un report realizzato da Sophos, Emotet rappresenta la più importante minaccia informatica in termini di efficacia e di numerosità di vittime. Lo hanno misurato e descritto attraverso il seguente grafico in cui ne viene mostrato l’andamento nel primo quadrimestre del 2019 (grafico Sophos).
Come si è evoluto
Durante gli anni Emotet è cambiato notevolmente passando da un semplice trojan banker con l’esclusiva abilità nel collezionare credenziali (username e password) ad un complesso impianto completo di moduli opzionali, sistemi di evasione e trucchi anti-analisi manuale. Le epoche in cui è stato classificato ad oggi sono tre:
- Epoca 1. Emotet come banking trojan, nella sua originale funzione individuata nel 2014.
- Epoca 2. Emotet come framework di delivery. Oltre al modulo “banking”, contiene al suo interno numerosi moduli come per esempio: “spam bot” (implementa la capacità di inviare e-mail di spam), DDoS comandato dal proprio pannello (modulare anch’esso) e una struttura di comando e di controllo, precedentemente non presente.
- Epoca 3. Emotet come framework di delivery dotato di strutture anti-analisi e moduli di propagazione laterale. L’introduzione di un packer scritto ad-hoc per rendere la decompilazione complessa, l’inserimento di numerosi sistemi di “VM-detection” per comprendere se il software malevolo viene avviato in un sistema reale o artificiale, l’implementazione di un sistema di depistaggio IP attraverso l’attivazione di specifici sistemi di Command and Control afferenti ad IP non funzionali all’attacco e l’introduzione di moduli di auto-propagazione attraverso vulnerabilità SMB, hanno sancito la sua terza epoca. Oggi Emotet epoca 3 rappresenta uno dei framework più avanzati di attacco opportunistico in circolazione, in continuo sviluppo e sorprendentemente funzionale grazie alla costruzione dinamica delle “IAT” (Importing Address Table) implementate per i suoi moduli opzionali. Comparando hash pre-computati con il nome ed indirizzo delle funzioni da utilizzare, Emotet riesce a minimizzare la propria “traccia” (fingerprint) evadendo numerosi motori AV (antivirus) basati su analisi statica. Inoltre, sono stati implementati differenti metodi di “injection”; per esempio una delle ultime tecniche utilizzate permette di sospendere un processo target, scrivere il codice malevolo all’interno delle sue aree di memoria, impostare le giuste policy di lettura e scrittura delle pagine di memoria alterate e riesumare il processo stesso. Al termine della fase di injection il framework Emotet monitora la primitiva “WaitForSignleObject” al fine di ricevere un segnale dal nuovo codice inserito oppure attendendo da 1 fino a 5 minuti prima di utilizzare il nuovo modulo iniettato.
Oggi Emotet epoch3 ha veramente poco in comune con l’originale e romantico banking trojan se non il metodo utilizzato per avviare l’infezione. Il metodo preferito dal gruppo criminale continua ad essere la campagna di malspam, attraverso la quale l’attaccante induce la vittima ad aprire un file, tipicamente Office, opportunamente modificato.
Come viene consegnato Emotet alla vittima
Nonostante la sua costante evoluzione il vettore di infezione risulta osservare precisi metodi mantenuti quasi inalterati durante il corso degli anni. Come primo step viene recapitato alla vittima attraverso posta elettronica un file tipicamente Office (Excel oppure Word), Javascript oppure uno zip con password contenente codice PowerShell.
La tematica della campagna e-mail viene redatta attraverso loghi, comunicazioni o richieste tipiche di organizzazioni di grandi dimensioni come per esempio (ma non limitato a): banche nazionali, sistemi postali o compagnie telefoniche. Il tipico utilizzo di tali tematiche aumenta la probabilità di lettura da parte degli utenti vittima in quanto probabili clienti.
L’apertura del file allegato (oppure scaricato attraverso un link presente nel corpo dell’e-mail) avvia una serie di azioni automatiche che portano all’esecuzione di Emotet, permettendogli di insediarsi all’interno dell’host infettato.
Conclusioni
La grande diffusione di infezioni originate da framework criminali come Emotet è cosi pervasiva da attirare anche enti governativi a scopo di spionaggio.
Questo è il caso di TrickBot, a cui accennavamo all’inizio, altro framework utilizzato dalla criminalità che, attraverso l’introduzione di un artefatto creato ad hoc denominato “Anchor“, avrebbe iniettato all’interno della macchina target PowerRatankba, un malware basato su PowerShell attribuito al noto gruppo nordcoreano Lazarus.
Purtroppo, questo malsano rapporto di collaborazione tra un ente governativo (Nord Corea) e un gruppo criminale è stato avviato creando scenari non ancora concepiti.
Il timore è che altri gruppi istituzionali possano seguire tale esempio ed avviare partnership equivalenti, andando a compromettere non solo i sistemi informativi bersaglio, ma di conseguenza la democrazia, la privacy e ancora di più la fiducia che tutti noi abbiamo nella tecnologia come strumento per il “vivere bene”.
