Emotet si ripresenta, sfruttando l'infrastruttura di Trickbot per diffondersi.
A novembre, l'inaspettato ritorno di Emotet nella Top 10 dei malware più diffusi al mondo è motivo di preoccupazione per gli esperti di Check Point Research. Nonostante questa minaccia occupi solo la settima posizione del ranking mondiale e la sesta nella classifica italiana, parliamo comunque di una delle botnet di maggior successo nella storia del crimine informatico, responsabile dell'esplosione di attacchi ransomware mirati.
Ricordiamo che Europol e le forze dell’ordine a inizio anno hanno smantellato la botnet e rimosso Emotet da tutti i computer infetti. A novembre però una nuova variante di Emotet si è ripresentata e viene installata su sistemi già infetti utilizzando l'infrastruttura di Trickbot. Quest'ultimo è per la sesta volta consecutiva in cima alla classifica mondiale, quindi è facile comprendere la portata dei contagi.
Emotet si diffonde tramite email di phishing che contengono file Word, Excel e Zip infetti che distribuiscono Emotet sull'host della vittima. Le esche delle email sono legate alle notizie di attualità, oppure a fatture e falsi promemoria aziendali: l'importante è convincere le vittime ad aprire gli allegati. Più recentemente, Emotet ha anche iniziato a diffondersi attraverso pacchetti Windows App Installer maligni che fingono di essere software Adobe.
Maya Horowitz, VP Research di Check Point Software, puntualizza che “il ritorno di Emotet a novembre è estremamente preoccupante perché potrebbe portare a un notevole aumento di attacchi. Il fatto che stia usando l'infrastruttura di Trickbot significa che sta accorciando il tempo necessario a Emotet per costruire un punto d'appoggio abbastanza significativo nelle reti di tutto il mondo".
In Italia il protagonista della scena a novembre è stato Blindingcan, un trojan ad accesso remoto (RAT) proveniente dalla Corea del Nord, già presente in Italia a febbraio e a luglio. A novembre ha colpito oltre il 10% delle aziende italiane ed è particolarmente insidioso per le sue funzioni integrate, che permetterebbero all'attaccante di beneficiare di diverse capacità d’azione sul sistema della vittima. Resta in top 3, ma al secondo posto, Trickbot, con un impatto del 4,52%.
Check Point Research ha anche rivelato che a novembre l'istruzione/ricerca è il settore più attaccato a livello globale, seguito da quello delle comunicazioni e dal governo/militare. Quanto alle vulnerabilità maggiormente sfruttate dagli attaccanti, in prima posizione troviamo il gruppo Web Servers Malicious URL Directory Traversal, che identifica le falle monitorate con le sigle CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260. Un errore di convalida dell'input in un server web che non sanifica correttamente l'URL per pattern directory traversal consente agli attaccanti non autenticati di rivelare o accedere a file arbitrari sul server vulnerabile.
In seconda e terza posizione ritroviamo rispettivamente due vecchie conoscenze: Web Server Exposed Git Repository Information Disclosure e di HTTP Headers Remote Code Execution.