Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

La botnet Emotet, dopo la chiusura da parte delle forze dell’ordine, è tornata in vita.

Redazione RHC : 17 Novembre 2021 12:27

I ricercatori di sicurezza informatica di Cryptolaemus, GData e Advanced Intel hanno identificato casi in cui il malware TrickBot installa un bootloader per Emotet su dispositivi infetti. In precedenza, Emotet installava TrickBot, ma ora gli aggressori utilizzano un metodo chiamato Operation Reacharound per ripristinare la botnet Emotet utilizzando l’infrastruttura TrickBot esistente.

Prologo

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Verso fine di gennaio del 2021, con una importante operazione internazionale, le forze dell’ordine e le autorità giudiziarie di tutto il mondo hanno interrotto una delle botnet più significative dell’ultimo decennio: EMOTET.

    Gli investigatori hanno assunto il controllo della sua infrastruttura di comando e controllo (C2) interrompendo una tra le più grandi minacce criminali della storia dell’informatica.

    Infatti EMOTET è stato uno tra i servizi di criminalità informatica più professionali e duraturi in circolazione. Scoperto per la prima volta come trojan bancario nel 2014, il malware si è evoluto nel corso degli anni fino a diventare la soluzione ideale per i criminali informatici.

    L’infrastruttura EMOTET ha essenzialmente agito come apri porta per i sistemi informatici su scala globale. Una volta stabilito questo accesso non autorizzato, tali accessi sono stati venduti ad altri gruppi criminali di alto livello per svolgere ulteriori attività illecite come il furto di dati e l’estorsione tramite ransomware e il furto di proprietà intellettuale (PI).

    Cosa sta succedendo

    Gli esperti non hanno registrato alcun segno che la botnet Emotet stesse inviando spam e non hanno trovato alcun documento dannoso che scaricava malware. La mancanza di spam è probabilmente dovuta alla ricostruzione dell’infrastruttura di Emotet completamente da zero.

    Secondo gli esperti dopo aver analizzato il nuovo bootloader Emotet, il programma contiene delle modifiche rispetto alle versioni precedenti.

    “Finora, possiamo confermare con certezza che il buffer dei comandi è cambiato. Sembra che ci siano diverse opzioni di esecuzione per i binari scaricati (poiché non si tratta solo di dll)”

    hanno detto gli esperti.

    Nell’aprile di quest’anno, quando Emotet venne rimossa dai computer infetti a seguito di un’operazione da parte delle forze dell’ordine europee, venne creato un aggiornamento software dalle forze dell’ordine stesse, che una volta inviato ai client riuscì a “disinfettare” tutti i client interconnessi eliminando la minaccia informatica. Ma tutto questo non ha impedito agli aggressori di ripristinare l’intera infrastruttura.

    Abuse.ch, un’organizzazione no-profit di monitoraggio dei malware, ha pubblicato attraverso un tweet, un elenco di 246 server C&C utilizzati dalla nuova botnet Emotet e raccomanda vivamente agli amministratori di rete di bloccare questi indirizzi IP.

    Pertanto risulta importante a livello di protezioni perimetrali bloccare il traffico in ingresso ed in uscita verso tali IP address per preservare al meglio l’infrastruttura delle aziende.

    Cosa sta succedendo

    Lunedì 15-11-21, sono stati rilevati dei segni di ripristino della botnet Emotet attraverso degli indicatori di compromissione che hanno portato all’attenzione che Emotet fosse tornato.

    Sono state trovate alcune e-mail da una botnet Emotet appena rianimata che contenevano uno dei tre tipi di allegati:

    • Foglio di calcolo Microsoft Excel;
    • Documento Microsoft Word;
    • Archivio zip protetto da password (password: BMIIVYHZ) contenente un documento Word.

    Queste e-mail erano tutte risposte contraffatte che utilizzavano dati da catene di e-mail rubate, presumibilmente raccolte da host Windows precedentemente infetti.

    Il traffico di infezione di Emotet è simile a quello che visto prima della rimozione della botnet nel gennaio 2021.

    L’unica vera differenza è che Emotet dopo l’infezione C2 ora il traffico di comunicazione è in HTTPS anziché HTTP non crittografato, segno di una evoluzione del malspan in una direzione di maggior sicurezza per i criminali informatici.

    La DLL Emotet è stata inizialmente archiviata come nome di file casuale con estensione .dll nella directory C:\ProgramData. Quindi è stato spostata in una directory con nome casuale nella cartella AppData\Local dell’utente infetto e resa persistente tramite un aggiornamento del registro di Windows.

    Di seguito degli hash SHA256 per 7 esempi di file DLL Emotet:

    • b132c7214b87082ed1fc2427ba078c3b97cbbf217ca258e21638cab28824bfa
    • 373398e4ae50ecb20840e6f8a458501437cfa8f7b75ad8a62a84d5c0d14d3e59
    • 29de2e527f736d4be12b272fd8b246c96290c7379b6bc2d62c7c86ebf7f33cd4
    • 632447a94c590b3733e2e6ed135a516428b0bd1e57a7d254d5357b52668b41f1
    • 69efec4196d8a903de785ed404300b0bf9fce67b87746c0f3fc44a2bb9a638fc
    • 9c345ee65032ec38e1a29bf6b645cde468e3ded2e87b0c9c4a93c517d465e70d
    • b95a6218777e110578fa017ac14b33bf968ca9c57af7e99bd5843b78813f46e0

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Apple contro il Governo del Regno Unito! La battaglia segreta sulla crittografia si è svolta a porte chiuse

    La causa intentata da Apple contro il governo britannico ha iniziato a essere discussa a porte chiuse presso la Royal Courts of Justice di Londra. L’azienda non è d’accordo con la r...

    Chatbot cinese DeepSeek usato per sviluppare keylogger e ransomware con poca review

    I ricercatori di Tenable hanno studiato la capacità del chatbot cinese DeepSeek di sviluppare malware (keylogger e ransomware). Il chatbot DeepSeek R1 è apparso a gennaio...

    L’AGI è più vicina che mai! Ma il mondo non è ancora preparato a questi inevitabili cambiamenti

    “Ora che il Genio è uscito dalla lampada, è difficile rimettercelo dentro!” avevamo detto diverso tempo fa. Ma nonostante siano trascorsi due anni dall’introduzione dell...

    Open AI Esegue Attacchi di Phishing Autonomi! Scopri di cosa si tratta

    I ricercatori di sicurezza Symantec hanno dimostrato come utilizzare lo strumento Operator Agent di OpenAI per eseguire attacchi di rete con richieste minime. Questa ricerca rivela possibili tendenze ...

    Apple promette la Traduzione Simultanea. Gli AirPods avranno una tecnologia alla Star Trek

    Apple prevede di introdurre una funzione di traduzione simultanea nelle cuffie AirPods, secondo le informazioni provenienti da fonti Bloomberg. La nuova funzionalità consentirà agl...