Emotet, il più pericoloso framework criminale di cyber spionaggio, è stato definitivamente cancellato da tutti i computer infetti del mondo.
È scattato oggi, infatti, il kill switch che ha disinstallato la botnet che sosteneva la diffusione di Emotet. Il tutto è avvenuto mediante un modulo malware consegnato a gennaio scorso dalle forze dell’ordine nell’ambito dell’operazione internazionale rinominata LadyBird e guidata da Europol in collaborazione con Eurojust che ha portato allo smantellamento dell’infrastruttura del framework.
Indice degli argomenti
Com’è avvenuta la cancellazione di Emotet
In particolare, dopo l’operazione iniziale di takedown, le forze dell’ordine hanno diffuso una nuova configurazione alle varianti attive di Emotet per far sì che il malware iniziasse a comunicare con i server di comando e controllo gestiti dall’agenzia federale della polizia tedesca, il Bundeskriminalamt.
In questo modo, è stato possibile distribuire un nuovo modulo di Emotet attraverso la libreria EmotetLoader.dll a 32 bit a tutti i sistemi infetti contenente le istruzioni per la disinstallazione automatica del malware che è avvenuta come preannunciato oggi, 25 aprile 2021, per dare il tempo agli amministratori delle aziende vittime coinvolte nella catena infettiva del malware e i cui sistemi erano ormai sotto il controllo della polizia di eseguire un’analisi forense e verificare ulteriori infezioni correlate.
Il nuovo modulo di Emotet è in realtà un vero e proprio tool di rimozione del malware in grado di cancellare solo i servizi di Windows associati a Emotet e le relative chiavi di registro, lasciando inalterati tutti gli altri servizi attivi sul sistema compromesso.
La minaccia rappresentata dal framework Emotet
Lo smantellamento di Emotet da parte dell’Europol è certo un risultato importante nella lunga lotta contro il cyber crimine. Ma sarebbe sbagliato cantare vittoria: semmai, l’analisi di quanto accaduto è l’occasione per ribadire ancora una volta l’importanza di una corretta e diffusa consapevolezza delle minacce informatiche (security awareness) a tutti i livelli della società digitale.
L’operazione LadyBird è importante perché smantella quello che era ben più di un semplice malware.
Emotet, apparso in natura per la prima volta nel 2014 come trojan bancario e gestito inizialmente da attori di minaccia afferenti al gruppo APT TA542, si è nel tempo evoluto fino a diventare un vero e proprio framework criminale multifunzione, capace di insinuarsi illecitamente nei sistemi informatici di tutto il mondo.
Rappresentando una delle principali minacce nel 2018, nel 2019 e nei primi mesi del 2020 in pieno inizio era COVID-19, l’impianto dietro alla botnet Emotet è stato anche uno strumento offerto a noleggio come servizio a varie aggregazioni criminali terze, impiegato come testa di ponte per distribuire altro codice malevolo per una vasta gamma di attività fraudolente che spaziano dal furto di credenziali (Trickbot, QBot) all’estorsione tramite ransomware (Conti, Prolock, Ryuk).
Emotet, con la sua modularità (che ha inoltre consentito negli anni ai criminal hacker di condurre svariate campagne malspam veicolanti allegati o link a documenti Word malevoli e spacciati per fatture, informazioni di spedizioni o informative su tematiche contemporanee e comuni a livello globale) e con la sua alta capacità di movimento laterale e resilienza, è stato sicuramente una delle principali armi del cyber crime internazionale.
I retroscena dell’operazione LadyBird
L’operazione transnazionale LadyBird condotta e coordinata nell’ambito della EMPACT (European Multidisciplinary Platform Against Criminal Threats) ha visto la collaborazione delle autorità dei Paesi Bassi, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, consentendo agli investigatori di interrompere le azioni criminali correlate a Emotet e di prendere il controllo delle relative infrastrutture.
Il logo dell’Operazione “LadyBird” (fonte: politie.nl).
Secondo il comunicato stampa di Europol, la task force internazionale è riuscita, assumendo il pieno controllo dell’impianto criminale composto da diverse centinaia di server distribuiti in tutto il mondo con diverse funzionalità, a gestire i sistemi coinvolti sia nella distribuzione del malware che nell’approvvigionamento dei relativi servizi, dandone ampia informazione alla rete dei vari CERT nazionali per le notifiche locali di competenza.
In particolare, la polizia nazionale olandese avendo scoperto nel corso dell’indagine un corposo database contenente indirizzi e-mail e credenziali rubati, ha messo a disposizione della collettività una pagina online di ricerca degli indirizzi di posta elettronica che potenzialmente potrebbero essere stati compromessi.
Infine, la polizia nazionale ucraina, in occasione del comunicato ufficiale, ha pubblicato in rete un video del blitz eseguito dai suoi agenti e che ha portato al sequestrato di computer, dischi rigidi e grandi quantità di denaro.
LadyBird: quale lezione dallo smantellamento della botnet Emotet
Come rimarcato dalla stessa Europol, è fondamentale per evitare di cadere vittima di botnet sofisticate come Emotet (entità polimorfica) oltre che diffondere consapevolezza (sensibilizzando gli utenti a controllare attentamente la propria posta evitando di aprire messaggi e allegati da mittenti sconosciuti e/o che implorano un senso di urgenza), adottare una combinazione di strumenti di sicurezza di nuova generazione e capaci di rilevare anche codice malware di cui non si posseggono ancora le firme.
Attenzione, però: l’operazione LadyBird potrebbe essere solo una battaglia vinta. Non si può escludere, infatti, che eventuali operatori scampati ai raid investigativi possano sviluppare in futuro nuove varianti di Emotet con caratteristiche e capacità aggiornate.
Infine, un piccolo inciso: è deludente costatare l’assenza dell’Italia dalla task force internazionale costituitasi per smantellare la botnet Emotet. Di certo competenze e professionalità non sarebbero mancate per dare un prezioso contributo. Ma questa è un’altra storia.
Articolo pubblicato il primo febbraio 2021 e aggiornato oggi in seguito al kill switch della botnet Emotet
