Secondo IBM X-Force, il malware Emotet si è recentemente diffuso in Germania e Giappone, prendendo di mira in modo sempre più aggressivo le aziende della zona.
Emotet è un trojan bancario diffuso tramite allegati e-mail abilitati alle macro che contengono link a siti dannosi. Funziona principalmente come downloader per altri malware, vale a dire il trojan TrickBot e il ransomware Ryuk. Grazie alla sua natura polimorfica, può eludere i tradizionali metodi di rilevamento basati sulle firme, rendendolo particolarmente difficile da combattere. Una volta infiltratosi in un sistema, infetta i processi in esecuzione e si connette a un server C&C remoto per ricevere istruzioni, eseguire download e caricare dati rubati (us-cert.gov).
Tradizionalmente, Emotet ha utilizzato notifiche di fatturazione aziendale per camuffarsi, spesso imitando il marchio di istituzioni affidabili per apparire legittimo. Questa strategia gli ha permesso di prendere di mira vittime negli Stati Uniti (52% di tutti gli attacchi), in Giappone (22%) e nei paesi dell'UE (Giappone.zdnet.com). Un incidente avvenuto nel dicembre 2019 ha costretto la città di Francoforte, sede della Banca Centrale Europea, a chiudere i suoi uffici. network (zdnet.com).
In Giappone, tuttavia, il malware ha agito con molta più aggressività rispetto agli anni passati. Un'attività maggiore è stata segnalata alla fine del 2019 e di recente, in seguito allo scoppio del coronavirus in Cina, Emotet ha cambiato tattica e ora si sta diffondendo in tutto il Giappone sotto forma di falsi avvisi di salute pubblica con preoccupanti segnalazioni di casi di coronavirus nelle prefetture di Gifu, Osaka e Tottori (Scambio IBM X-Force).
Questo è un buon esempio di ciò che rende questo tipo di malware così pericoloso: non solo è resistente al rilevamento tramite metodi basati sulle firme, ma manipola anche le emozioni umane di base per diffondersi.
La protezione contro Emotet richiede quindi misure più complesse. Oltre alla prevenzione ben informata, un modo efficace per affrontarlo è affidarsi all'analisi del comportamento alla ricerca di indicatori di compromissione (IoC). Nel caso di Flowmon, questo assume la forma del modello di comportamento InformationStealers (BPattern), che esiste come metodo di rilevamento standard in Annunci Flowmon e descrive i sintomi della presenza di Emotet nel network.
I BPatterns possono essere considerati una sorta di descrizione di come diversi attori malintenzionati si manifestano nel networkConsentono al sistema di distinguere le minacce da altre attività, monitorando e valutando criticamente il traffico. A differenza delle firme tradizionali, i BPattern non ricercano una specifica porzione di codice e quindi mantengono la capacità di identificare le minacce anche durante la loro trasformazione e il loro avanzamento nel corso del loro ciclo di vita.
Secondo un'analisi pubblicata da Fortinet, Emotet utilizza 5 URL per scaricare il payload e 61 server C&C hard-coded (fortinet.com/blog). Queste informazioni sono incluse nel BPattern e vengono utilizzate dal sistema per riconoscere l'infezione e contenerla prima che possa diffondersi. Per un ulteriore livello di protezione, esiste anche un BPattern per TrickBot (TOR_Malware). Entrambi i pattern vengono aggiornati periodicamente a seconda di come si evolvono i Trojan e vengono forniti agli utenti come parte di aggiornamenti regolari. È stato il partner di Flowmon, Orizon Systems, ad avvisarci dell'aumento dell'incidenza del malware Emotet e a richiedere l'aggiornamento più recente.
Ma nessuna protezione è infallibile e si consiglia a tutti di mantenere diversi livelli di protezione informatica in atto e aggiornati, tra cui antivirus, rilevamento IoC sui firewall, sistemi di rilevamento delle intrusioni (IDS) e analisi comportamentale sul networkPoiché Emotet si diffonde tramite e-mail contraffatte, gli utenti devono prestare attenzione nell'aprire gli allegati, in particolare coloro che entrano quotidianamente in contatto con fatture e documenti provenienti da terze parti, e segnalare qualsiasi e-mail sospetta o insolita al team di sicurezza.
Per saperne di più sul rilevamento delle minacce tramite Flowmon ADS, Contattaci per maggiori informazioni o prova un demo.
Condividi questo blog:
Timur è il fondatore e CEO di NEOX Networks, Un fornitore leader di network soluzioni di visibilità e sicurezza. Con oltre 25 anni di esperienza nel settore, Timur ha una profonda comprensione delle sfide che i team IT e OT di oggi devono affrontare in network e domini di sicurezza. È appassionato di sfruttare la tecnologia per risolvere problemi complessi e crede che un'efficace network La visibilità è fondamentale per il successo di qualsiasi organizzazione in termini di disponibilità e sicurezza delle applicazioni aziendali. Timur si impegna a fornire soluzioni innovative che soddisfino le esigenze in continua evoluzione dei clienti NEOX.