Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La botnet di Emotet ha ripreso le sue attività dopo cinque mesi di fermo

Redazione RHC : 3 Novembre 2022 16:49

Autore: Eros Capobianco

Emotet il famoso cavallino galoppante torna in pista, questo è ciò che si evince al momento. Alcuni ricercatori del gruppo di ricerca Cryptolaemus tramite la nota piattaforma Twitter stanno segnalando la ripresa dello spam.

Dopo quella che potrebbe sembrare una breve pausa, le Epoch 4 ed Epoch 5 riprendono le campagne di diffusione del malware tramite nuovi file con estensione .xls .

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Circa tre settimane fa i laboratori di VMWare avevano reso pubblico un report nel quale veniva analizzata la Cyber Kill Chain di Emotet e venivano illustrate alcune nuove funzionalità. Il malware si sarà aggiornato nuovamente?

    (Fonte: https://twitter.com/ffforward/status/1587726719414312960)

    Cos’è Emotet?

    Emotet è un malware scoperto per la prima volta nel 2014, inizialmente poteva essere configurato nella categoria Banking Trojan in quanto lo scopo principale dell’infezione era quello di recuperare dati bancari dalle macchine infette.

    Nel 2018 l’aggiunta di molteplici nuove funzionalità portò Emotet a rientrare nella categoria Trojan-Dropper, avendo acquisito tramite le modifiche apportate, la capacità di installare altri malware a seguito della sua infezione.

    L’espansione della minaccia aumento notevolmente, fino a che nel 2021 un’operazione internazionale coordinata contro il cyber crimine pose quella che sarebbe sembrata la fine del gruppo criminale che gestiva l’infrastruttura.

    La storia di Emotet non finisce qui, infatti ritorna al galoppo agli inizi del 2022 e vengono avviate nuove campagne di spam, una delle quali inefficace a causa di un bug nel codice del malware.

    I nuovi potenziamenti

    Tra i nuovi potenziamenti che possiamo notare tra le versioni di Emotet prima della sua chiusura e oggi, ricordiamo principalmente un modulo incaricato dello spam e un modulo utilizzato per rubare gli account di thunderbird.

    Tramite questi moduli aumenta la resilienza dell’infrastruttura, oltre che aumentare il potenziale di diffusione.

    Inoltre come di consueto negli aggiornamenti ai malware possiamo notare un miglioramento nel camuffamento dei server di comando e controllo.

    (Fonte: VMWare – Via https://thehackernews.com/2022/10/new-report-uncovers-emotets-delivery.html)

    La nuova campagna arriva in Italia

    Secondo quanto affermato al 02 novembre 2022 dai ricercatori di Cryptolaemus sembrerebbe che le epoche 4 e 5 abbiamo ripreso la diffusione di file XLS e ZIP malevoli ed al momento della scrittura non sono state rilevate modifiche.

    Inoltre abuse.ch comunica l’inserimento degli ip malevoli nella piattaforma Feodotracker utilizzata per tracciare gli indirizzi attribuibili a diverse minacce.

    Secondo quanto riportato dal Cert-AgId ed alcuni utenti Twitter, la campagna sarebbe inoltre già arrivata in Italia, il grafico pubblicato da agid e di seguito riportato mostra come le campagne di Emotet siano presenti in Italia in ogni fase della sua espansione. Il che si rivela preoccupante e necessità di essere tenuto in considerazione cercando di prevenire l’infezione.

    (Fonte: https://cert-agid.gov.it/news/emotet-e-tornato-in-italia/)

    Consigli e precauzioni

    I consigli per evitare la minaccia sono gli stessi che già avevamo consigliato in passato qui.

    Di seguito invece abbiamo raggruppato tutte le IOC finora scoperte riguardo la nuova campagna di Emotet. Ad esclusione di quelle già comunicate dal cert-agid che possono essere trovate al seguente link: Cert-Agid Emotet IOC

    EPOCH 4

    Hashes:

    • ef2ce641a4e9f270eea626e8e4800b0b97b4a436c40e7af30aeb6f02566b809c
    • aef461e917273a9e8eb9c26a670689b9e6d26d3efe363c0f44d3bab34a6d371b
    • 6e8ccade5bca2836792a9e8e0b0d9e70070005af95a332380c76645287039fae

    Urls:

    • hxxps://audioselec[.]com/about/dDw5ggtyMojggTqhc/
    • hxxp://intolove[.]co[.]uk/wp-admin/FbGhiWtrEzrQ/
    • hxxps://geringer-muehle[.]de/wp-admin/G/
    • hxxp://isc[.]net[.]ua/themes/3rU/
    • hxxps://atlantia[.]sca[.]org/php_fragments/D8Nwm2F80BL4s/
    • hxxp://aibwireless[.]com/cgi-bin/zR2mG25Ssk8dH/
    • hxxps://amorecuidados[.]com[.]br/wp-admin/t3D/
    • hxxp://thuybaohuy[.]com/wp-content/u3MJwXSP9tmiaTCyZD/

    EPOCH 5
    Hashes:

    • 65f6bf1299c82659d54482d0d08ed38dcdf61826f7df7fb68301620933e61e16
    • cd99b899c5a3d6ddb22969605b079375da897362b4d599fc9eebb1e21115a31d
    • f9a9b01d460cf2e4ff970a3d7e9b0f7c4be4d5d209aac07d186eb75a84bafb0b

    Urls:

    • hxxp://sat7ate[.]com/wordpress/ZAf5j4MG8Hwnig/
    • hxxp://www[.]3d-stickers[.]com/Content/Afa1PcRuxh/
    • hxxp://www[.]spinbalence[.]com/Adapter/moycMR/
    • hxxp://navylin[.]com/bsavxiv/axHQYKl/

    Unknown source (Epoch 4/5):
    ips:

    • 182.162.143.]56
    • 218.38.121.]17
    • 103.133.214.]242
    • 142.93.76.]76
    • 203.217.140.]239

    hashes:

    • 3b33dda9b3ba6955876a39e86b3da946
    • 50af6bffbd160b0f93a1287b6962f943
    • 98abdabfbfc21ac18c4bbe28364c90c5
    • e21a49dfb4b35b93eb95b52b64078826
    • bf5319e9d582876aaaa4df46e74e74ee
    • d3b182de8c99553a9f2b6d0f3f030a4f
    • 2486374800299563AB8934122234242A
    • E0C50A494ACE92008C4739246539A996
    • 1216736418AE4FE12D309099EA507947

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo

    Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...

    Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

    Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...

    Attacco a X: Scovato il Responsabile? Le Indagini Puntano in una Direzione Inattesa!

    L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...

    Dentro le Reti Wireless IEEE 802.11: Architettura e Segnale Wi-Fi

    Le reti wireless IEEE 802.11, meglio note come Wi-Fi, sono il cuore pulsante della connettività moderna. Da soluzione di nicchia per uso domestico a pilastro tecnologico per l’Internet del...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006