Anche Emotet è tornato dalle ferie ed è di nuovo operativo – come ridurre il rischio nel tuo ambiente?

Le campagne di trojan Emotet sono apparse di nuovo dopo un periodo di rallentamento. Il trojan è stato attivo in modo irregolare sin dal suo inizio nel 2014 e la campagna è stata temporaneamente interrotta dopo febbraio, ma è tornata ad essere molto attiva con nuovi attacchi. Il 18 agosto il Finnish National Cyber ​​Security Center ha emesso un avviso di alto livello sul malware in merito alla diffusione attiva del trojan in Finlandia.

Emotet è un trojan modulare distribuito come malware first stage. Dopo aver infettato con successo un sistema, distribuirà un trojan bancario, un infostealer o un ransomware. Una descrizione più semplice e rapida sarebbe che Emotet è un trojan utilizzato per aprire le porte ad altre operazioni malevole. Emotet viene solitamente distribuito in massicce campagne di posta elettronica utilizzando in particolare allegati con macro di Microsoft Office per ottenere l’accesso e rubare informazioni mirate come email e contatti e inviare tali informazioni al suo canale di comando. Utilizzando queste informazioni, prende di mira nuove vittime tramite spoofing delle email e trae vantaggio dalle conversazioni e dai contatti di posta elettronica reali. Ciò rende davvero difficile per un utente finale individuare le email di phishing poiché i messaggi sembrano legittimi e anche l’educazione dell’utente finale diventa sempre più complicata e non necessariamente efficace. Emotet viene aggiornato e modificato regolarmente ed è in grado di aggiornare se stesso e il canale di comando e controllo rendendo difficile l’individuazione con le firme antivirus tradizionali o a livello di rete.

Emotet viene spesso utilizzato per ottenere l’accesso iniziale alle organizzazioni da parte di attaccanti più avanzati e dopo il punto d’appoggio iniziale l’attaccante di solito punta a un attacco ransomware mirato veloce e simultaneo a livello di rete. Ciò è possibile grazie alle capacità di Emotet di forzare le password e consentire all’attaccante di spostarsi lateralmente nella rete su altri dispositivi e infettarli. Spesso, dopo l’infezione di Emotet, gli attacchi di seconda o terza fase possono coinvolgere strumenti e tecniche di aggressione più sofisticati che sono più difficili da rilevare con i tradizionali controlli di sicurezza preventivi. Emotet è anche in affitto nel mondo del crimine informatico, quindi è possibile che vengano impiegati da altre gang di malware (ransomware o infostealer) per prendere di mira determinate organizzazioni.

Il team che fornisce Countercept, il servizio di Managed Detection and Response di F-Secure, ha alcune esperienze molto recenti nel rilevamento e nella risposta agli attacchi Emotet nelle organizzazioni, quindi la minaccia è reale e dovrebbe essere presa sul serio.

Alcuni suggerimenti per ridurre il rischio di infezione nella tua organizzazione

Macro di Office

• Disabilitare le macro di Microsoft Office nel proprio ambiente
• Consentire l’esecuzione di macro solo agli utenti che ne hanno veramente bisogno e guida questi utenti a non attivare mai macro da documenti che arrivano via email anche se provengono da una fonte attendibile o conversazioni email familiari
• Se possibile, filtrare i documenti contenenti macro di Office dalla posta elettronica

Powershell

• Utilizzare PowerShell nella modalità Constrained Language nelle normali workstation: https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/
• Oltre alla modalità Contrained Language, controllare l’esecuzione di PowerShell con soluzioni come Application Control, Applocker, Device Guard in modo da poter scegliere chi può eseguire PowerShell e quali script e come possono essere eseguiti
• Disabilitare PowerShell 2.0 perché può essere utilizzato per bypassare questi controlli
• Impostare i criteri di esecuzione di PowerShell per consentire solo gli script firmati
• Attivare il logging di PowerShell e monitorare i registri
• Utilizzare prodotti EPP in grado di sfruttare l’integrazione AMSI in modo che gli script in esecuzione possano essere analizzati durante il runtime. I prodotti F-Secure EPP utilizzano AMSI.
• Monitorare e rilevare l’esecuzione anomala di PowerShell 24 ore su 24, 7 giorni su 7 e rispondere alle anomalie. Utilizzare le soluzioni EDR/MDR per ottenere visibilità e strumenti di risposta

Altre informazioni importanti

• Assicurarsi che i prodotti per la protezione degli endpoint siano aggiornati e configurati correttamente e che non si basino solo sulle firme per il rilevamento. Ad esempio, F-Secure DeepGuard è in grado di rilevare e bloccare i documenti malevoli al momento dell’esecuzione per impedire l’installazione di malware aggiuntivo nel sistema
• Assicurarsi di applicare patch a software e sistemi operativi
• Utilizzare EDR/MDR per monitorare il tuo ambiente 24 ore su 24, 7 giorni su 7 per identificare, contenere e correggere le anomalie
• Informare gli utenti sul grave rischio di aprire allegati email o link. Per gli utenti potrebbe essere impossibile identificare il phishing Emotet
• Leggere informazioni aggiornate dal Centro nazionale per la sicurezza informatica e dal fornitore di sicurezza locale

Approfondimenti:

Avviso su Emotet del Finnish National Cyber Security Centre:
https://www.kyberturvallisuuskeskus.fi/en/emotet-malware-actively-spread-finland

Informazioni sul servizio di Detection and Response: https://www.f-secure.com/it/business/solutions/managed-detection-and-response/countercept

Ulteriori dettagli su Emotet ai seguenti link e precedenti post sul blog:
https://www.f-secure.com/v-descs/trojan_w32_emotet.shtml
https://blog.f-secure.com/it/gli-attacchi-via-email-sul-coronavirus-si-evolvono-con-il-diffondersi-dellepidemia/
https://blog.f-secure.com/hunting-for-emotet/

Tratto dall’articolo di Tuomas Miettinen, Solution Consultant in F-Secure Countercept, Managed Detection and Response