È di qualche mese fa la notizia secondo cui tutte le autorità giudiziarie del mondo hanno interrotto uno dei malware più famosi e pericolosi: Emotet.
Gli investigatori hanno preso il controllo dell’infrastruttura Emotet grazie ad una collaborazione internazionale tra Paesi Bassi, Germania, Stati Uniti, Francia, Lituania, Canada e Ucraina.
Ma partiamo dal principio cercando di capire come sono andate le cose.
Cos’è Emotet?
Emotet è stato uno dei malware più famosi e duraturi degli ultimi tempi, scoperto per la prima volta come trojan bancario nel 2014.
Questo malware si è poi evoluto negli anni ed ha agito come “apriporta” per il furto di dati e l’estorsione tramite rasomware. Il rasomware è un tipo di malware che blocca o limita l’accesso del dispositivo che infetta richiedendone il riscatto.
Emotet raccoglieva credenziali finanziarie, nomi utente, password, indirizzi e mail e altri dati rilevanti.
Diffusione via posta elettronica con file Word allegati
Nella maggior parte dei casi Emotet ha utilizzato il servizio di posta elettronica come vettore di attacco, attraverso un processo completamente automatizzato.
Tra le varie tipologie di esche utilizzate per indurre gli utenti ad aprire gli allegati ci sono state finte fatture, avvisi di spedizione falsi e ovviamente anche informazioni sul COVID-19, pandemia tuttora in corso.
Tutte queste e-mail contenevano un file Word in allegato o scaricabile attraverso un collegamento all’interno del corpo del messaggio; quando un utente apriva questo documento partiva una macro e il malware veniva installato nel computer.
Un malware a noleggio
Ciò che ha reso Emotet una delle più grosse minacce degli ultimi anni è che lo stesso veniva offerto a “noleggio” ad altri sistemi simili come ad esempio TrickBot, QakBot e Ryuk, i quali l’hanno sfruttato a loro volta per installare altri tipi di malware come trojan bancari o ransomware. Tutto ciò ha reso questo sistema molto efficiente e difficile da debellare.
Interruzione dell’infrastruttura di EMOTET
L’infrastruttura utilizzata da Emotet ha coinvolto diverse centinaia di server dislocati in tutto il mondo, tutti con funzionalità diverse per gestire i computer delle vittime infette, infettarne di nuovi, servire altri gruppi criminali e, infine, rendere la rete più resiliente contro i tentativi di bloccaggio e rimozione.
Per interrompere l’infrastruttura Emotet è servita una grossa collaborazione tra le forze dell’ordine, le quali sono riuscite a smantellare l’infrastruttura dall’interno e i server incriminati sono stati reindirizzati verso una infrastruttura posta sotto controllo.
Come proteggersi da Emotet e da altre minacce simili
Per proteggersi al meglio da Emotet si doveva, ma si deve tutt’ora per altre minacce simili, tenere sempre aggiornati gli strumenti di sicurezza informatica come antivirus, anti malware e lo stesso sistema operativo dove “girano” gli stessi.
Emotet è stata una grossa minaccia ma il web ci ha insegnato che bisogna sempre stare attenti e con gli occhi aperti. Su Internet le minacce sono all’ordine del giorno e a seguire vi diamo un paio di consigli su come reagire quando ci troviamo davanti ad un messaggio di posta elettronica sospetto e potenzialmente infetto:
- Evitare di aprire messaggi e allegati sospetti e da mittenti sconosciuti: la maggior parte delle volte basta controllare da che indirizzo email arriva;
- se un messaggio di posta elettronica sembra troppo bello per essere vero, molto probabilmente è una trappola.
Come fare per capire se siamo stati vittima di Emotet
Tornando a Emotet, per chi vuole sapere se è stato vittima di questo sistema fraudolento, il sito Politie consente di verificare se un indirizzo email è stato acquisito da Emotet, grazie ad un database portato alla luce dalla polizia olandese.
Vi basta inserire il vostro indirizzo email e il sistema vi contatta soltanto se l’email si trova all’interno del database.
Conclusioni
Emotet ora non è più una minaccia fortunatamente ma non ci stancheremo mai di sottolineare come delle semplici “regole informatiche” possano davvero salvarci da problemi davvero molto grossi.
Di come comportarsi con dei messaggi di posta elettronica sospetti ne abbiamo già parlato e, rivolgendoci invece alle varie credenziali che ormai giornalmente utilizziamo, ricordiamo che la verifica in due passaggi è un altro sistema di sicurezza efficiente che al giorno d’oggi è quasi d’obbligo. Questo sistema consente di avere un controllo ulteriore dei nostri account, facendoci dormire sonni più tranquilli.
La nostra speranza è che la rete sia sempre più sicura e notizie come la chiusura di Emotet fanno sempre piacere, speriamo si continui di questo passo perché l’importanza della sicurezza informatica è il punto basilare per lo sviluppo futuro di Internet.