Emotet: come proteggersi al meglio dal trojan

Cos'è Emotet?

Emotet è un programma malware originariamente sviluppato sotto forma di trojan bancario. L'obiettivo era quello di accedere a dispositivi stranieri e spiare i dati privati sensibili. Emotet ha ingannato i programmi anti-virus di base nascondendosi da essi. Una volta infettati i sistemi, il malware si diffonde come un worm cerando di infiltrarsi in altri computer nella rete.

Emotet si diffonde principalmente attraverso e-mail di spam. L'e-mail contiene un collegamento dannoso o un documento infetto. Scaricando il documento o aprendo il collegamento, vengono automaticamente scaricati altri malware nel computer. Le e-mail sono state create per sembrare molto autentiche e molte persone sono rimaste vittime di Emotet.

Emotet - termine e definizione

Emotet è stato rilevato per la prima volta nel 2014, quando i clienti di banche tedesche e austriache sono stati colpiti dal trojan. Emotet aveva ottenuto l'accesso ai dati degli account di accesso dei clienti. Negli anni successivi, il virus si è diffuso a livello globale.

Emotet si è evoluto da trojan bancario a dropper, ovvero un trojan che ricarica il malware sui dispositivi. Questi ultimi sono quindi i responsabili del danno effettivo al sistema.

Nella maggior parte dei casi, l'attacco del dropper ha colpito i programmi seguenti:

Trickster (noto anche come TrickLoader e TrickBot): un trojan bancario che tenta di accedere ai dati degli account di accesso dei conti bancari.
Ryuk: un trojan di criptaggio, noto anche come cryptotrojan o ransomware, che cripta i dati e quindi impedisce all'utente del computer di accedere a tali dati o all'intero sistema.

L'obiettivo dei cybercriminali che colpiscono usando Emotet è spesso quello di estorcere denaro alle loro vittime. Minacciano, ad esempio, di pubblicare o rilasciare i dati criptati a cui hanno ottenuto l'accesso.

Quali obiettivi prende di mira Emotet?

Emotet prende di mira privati, nonché aziende, organizzazioni e autorità. Nel 2018, dopo essere stato infettato da Emotet, l'ospedale di Fuerstenfeldbruck in Germania ha dovuto arrestare 450 computer e disconnettersi dal centro di controllo dei soccorsi nel tentativo di controllare l'infezione. A settembre 2019 è stata colpita la Corte d'Appello di Berlino, mentre a dicembre 2019 è stata la volta dell'Università di Giessen. Anche la Medical University di Hannover e l'amministrazione comunale di Francoforte sul Meno sono state vittime di Emotet.

Questi sono solo alcuni esempi di infezioni causate da Emotet, ma si stima che il numero non divulgato di aziende colpite sia molto più alto. Si presume inoltre che molte aziende infette non abbiano segnalato la violazione per paura di danneggiare la loro reputazione.

È anche importante ricordare che, mentre inizialmente Emotet prendeva di mira principalmente aziende e organizzazioni, oggi il trojan colpisce soprattutto i privati.

Quali dispositivi sono a rischio con Emotet?

Inizialmente le infezioni causate da Emotet sono state rilevate solo nelle versioni più recenti del sistema operativo Microsoft Windows. Tuttavia, all'inizio del 2019 sono stati colpiti anche computer Apple. I criminali hanno attirato gli utenti in trappola con una falsa e-mail del supporto Apple. Nell'e-mail veniva dichiarato che l'azienda avrebbe "limitato l'accesso all'account" se l'utente non avesse risposto. Alle vittime è stato poi chiesto di seguire un collegamento per impedire la disattivazione e l'eliminazione dei servizi Apple.

Come si diffonde il trojan Emotet?

Emotet viene distribuito principalmente tramite la cosiddetta raccolta Outlook. Il trojan legge le e-mail da parte degli utenti già infetti e crea contenuti ingannevolmente reali. Queste e-mail appaiono legittime e personali, distinguendosi quindi dalle normali e-mail di spam. Emotet invia queste e-mail di phishing a contatti archiviati come amici, familiari e colleghi di lavoro.

La maggior parte delle volte, le e-mail contengono un documento di Word infetto che il destinatario deve scaricare o un collegamento pericoloso. Come mittente viene sempre visualizzato il nome corretto. I destinatari pensano così che il messaggio sia sicuro: l'e-mail sembra completamente legittima. I destinatari quindi (nella maggior parte dei casi) fanno clic sul collegamento pericoloso o scaricano l'allegato infetto.

Una volta ottenuto l'accesso a una rete, Emotet può diffondersi. Cerca quindi di decifrare le password degli account usando il metodo di forza bruta. Altri modi in cui Emotet si è diffuso includono l'exploit EternalBlue e la vulnerabilità DoublePulsar in Windows, che consentiva l'installazione di malware senza l'intervento dell'utente. Nel 2017, il trojan di estorsione WannaCry è stato in grado di sfruttare l'exploit EternalBlue per un grave cyberattacco che ha causato danni devastanti.

Chi c'è dietro Emotet?

L'Ufficio federale tedesco per la sicurezza informatica (BSI) ritiene che

"Gli sviluppatori di Emotet stiano concedendo in sublocazione il software e l'infrastruttura a terze parti".

Si affidano anche a malware aggiuntivo per raggiungere i propri obiettivi. Il BSI ritiene che i criminali siano spinti da motivazioni finanziarie e che quindi si tratti di cybercrimine e non di spionaggio. Nessuno, tuttavia, sembra avere una risposta chiara su chi ci sia esattamente dietro Emotet. Ci sono varie ipotesi riguardanti i paesi di origine, ma non ci sono prove affidabili.

Quanto è pericoloso Emotet?

Il DHS (Department of Homeland Security, Dipartimento della sicurezza interna) degli Stati Uniti è arrivato alla conclusione che Emotet sia un software particolarmente costoso con un enorme potere distruttivo. Il costo della pulizia è stimato in circa un milione di dollari USA per incidente. Per questo motivo, Arne Schoenbohm, capo dell'Ufficio federale tedesco per la sicurezza informatica (BSI), ha definito Emotet il "re del malware".

Emotet è senza dubbio uno dei malware più complessi e pericolosi della storia. Il virus è polimorfico, ovvero il suo codice cambia leggermente ogni volta che vi si accede.

Ciò rende difficile l'identificazione del virus tramite i software anti-virus, molti dei quali eseguono ricerche basate sulla firma. A febbraio 2020, i ricercatori di Binary Defense che si occupano della sicurezza hanno scoperto che ora Emotet attacca anche le reti Wi-Fi. Se un dispositivo infetto è connesso a una rete wireless, Emotet esegue la scansione di tutte le reti wireless nelle vicinanze. Usando un elenco di password, il virus tenta quindi di ottenere l'accesso alle reti e infettare così altri dispositivi.

I cybercriminali amano sfruttare le paure della popolazione. Non sorprende quindi che la paura per il coronavirus, che circola in tutto il mondo da dicembre 2019, venga sfruttata da Emotet. I cybercriminali responsabili del trojan falsificano spesso e-mail che si presume forniscano informazioni e istruzioni utili sul coronavirus. Se trovate quindi un'e-mail di questo tipo nella casella di posta, fate particolare attenzione a eventuali allegati o collegamenti presenti.

Come proteggersi da Emotet

Per proteggersi da Emotet e altri trojan, non è sufficiente fare affidamento esclusivamente su programmi anti-virus. Rilevare il virus polimorfico è solo il primo passo per gli utenti finali. Semplicemente non esiste una soluzione che fornisca una protezione al 100% contro Emotet o altri trojan in continua evoluzione. Solo adottando misure organizzative e tecniche, è possibile ridurre al minimo il rischio di infezione.

Ecco alcuni suggerimenti per proteggersi da Emotet:

Mantenetevi aggiornati. Tenetevi regolarmente informati sugli sviluppi relativi a Emotet. Ci sono diversi modi per farlo, come leggere le informazioni nel Kaspersky Resource Center o fare ricerche mirate.
Aggiornamenti di sicurezza: è essenziale installare gli aggiornamenti forniti dai produttori il più rapidamente possibile per colmare possibili lacune di sicurezza. Questo vale per i sistemi operativi come Windows e macOS, nonché per tutti i programmi applicativi, i browser, i componenti aggiuntivi dei browser, i client e-mail, Office e i programmi di gestione di PDF.
Protezione dai virus: assicuratevi di installare un programma completo di protezione da virus e malware, come Kaspersky Internet Security, ed eseguite regolarmente la scansione del computer alla ricerca di vulnerabilità. Avrete così a disposizione la migliore protezione possibile contro i più recenti virus, spyware e così via.
Non scaricare allegati dubbi dalle e-mail e non fate clic sui collegamenti sospetti. Se avete il dubbio che un'e-mail possa essere falsa, non correte rischi e contattate il mittente. Se vi viene chiesto di consentire l'esecuzione di una macro in un file scaricato, non fatelo in nessun caso, ma eliminate immediatamente il file. In questo modo non darete a Emotet la possibilità di infiltrarsi nel computer.
Eseguite regolarmente il backup dei dati su un dispositivo di archiviazione esterno. In caso di infezione, avrete sempre a disposizione un backup e non perderete i dati del dispositivo.
Usate solo password complesse per tutti gli account di accesso (banking online, account e-mail, negozi online). Con password complessa si intende non usare il nome del primo cane, ma una combinazione casuale di lettere, numeri e caratteri speciali. Potete creare le password autonomamente o usare diversi programmi per generarle. Oggi molti programmi offrono anche la possibilità di usare l'autenticazione a due fattori.
Estensioni di file: configurate il computer in modo da visualizzare le estensioni dei file per impostazione predefinita. Sarete così in grado di individuare file ambigui come "Photo123.jpg.exe", che tendono a essere programmi dannosi.

Come si rimuove Emotet?

Prima di tutto, non fatevi prendere dal panico se sospettate che il PC possa essere infettato da Emotet. Informate i vostri conoscenti dell'infezione, perché le persone nei contatti e-mail sono potenzialmente a rischio.

Assicuratevi quindi di isolare il computer se è connesso a una rete per ridurre il rischio di diffusione di Emotet. Successivamente, modificate tutti i dati di accesso per tutti i vostri account (account e-mail, browser Web e così via). Eseguite questa operazione su un dispositivo separato che non sia infetto né connesso alla stessa rete.

Poiché Emotet è polimorfico (ovvero il suo codice cambia leggermente ogni volta che vi si accede), un computer pulito può essere rapidamente re-infettato se viene connesso una rete infetta. È quindi necessario eseguire la pulizia di tutti i computer connessi alla rete, uno dopo l'altro. A tale scopo, usate un programma anti-virus. In alternativa, è anche possibile contattare uno specialista, ad esempio il fornitore di software anti-virus, per ottenere indicazioni e assistenza.

EmoCheck: questo strumento aiuta davvero contro Emotet?

Il CERT (Computer Emergency Response Team) giapponese ha pubblicato uno strumento denominato EmoCheck, che può essere usato per controllare la presenza nel computer di un'infezione causata da Emotet. Poiché tuttavia Emotet è polimorfico, EmoCheck non può garantire al 100% che il computer non sia infetto.

EmoCheck rileva le stringhe di caratteri tipiche e vi avverte se individua un potenziale trojan. La mutabilità del virus, tuttavia, non consente di garantire che il computer sia davvero pulito ed è importante tenere presente questo aspetto.

Considerazioni finali

Il trojan Emotet è davvero uno dei malware più pericolosi nella storia della cybersecurity. Chiunque potrebbe diventare una vittima, che si tratti di privati, aziende e anche autorità globali. Una volta che il trojan si è infiltrato in un sistema, ricarica infatti altro malware che spia gli utenti.

Molte delle vittime di Emotet vengono spesso ricattate con richieste di pagamento di un riscatto per riavere i dati. Purtroppo non esiste una soluzione che fornisca una protezione al 100% contro un'infezione causata a Emotet. Ci sono tuttavia diverse misure che è possibile adottare per ridurre il rischio di un'infezione.

Se sospettate che il computer sia infetto da Emotet, intraprendete le azioni illustrate in questo articolo per pulire il computer e assicuratevi di proteggere il sistema con una soluzione anti-virus completa come le soluzioni anti-malware Kaspersky.