Che cos'è Emotet?
Emotet è stata una delle principali minacce di malware fino al gennaio 2021, quando una task force internazionale ha eliminato il malware. Al suo apice, Emotet ha infettato 1,5 milioni di computer in tutto il mondo e ha causato danni stimati in 2,5 miliardi di dollari prima di essere messo offline.
L'interruzione del gennaio 2021 ha creato solo una pausa di dieci mesi nelle operazioni, fino al novembre 2021, quando Emotet è tornato. Ha sfruttato la portata della botnet Trickbot per far scaricare alle infezioni Trickbot esistenti una versione nuova e migliorata di Emotet.
Tra i miglioramenti di Emotet ci sono una crittografia più forte, flussi di controllo migliorati e nuovi meccanismi di infezione. Emotet ora fornisce anche i beacon Cobalt Strike, che sono comunemente utilizzati per Attacchi ransomware.
Come si diffonde?
Emotet si diffonde principalmente attraverso le e-mail di spam. Un sistema infettato da Emotet invierà e-mail di spam contenenti link o documenti dannosi, progettati per infettare i computer con il virus Emotet. malware. Una volta infettate, queste macchine possono scaricare altri tipi di malware - come i malware Trickbot, QBot e Dridex - e lavoreranno per continuare a propagare il malware.
Nel caso della resurrezione di Emotet, il malware ha invertito le sue normali operazioni, scaricandosi principalmente sulle macchine infettate da Trickbot, anziché il contrario. Questo ha fornito al malware un'ampia impronta iniziale da cui iniziare a inviare e-mail di spam progettate per diffondere il malware.
SECONDO CHECK POINT RESEARCHDopo la sua resurrezione, Emotet ha raggiunto rapidamente il 50% dell'attività precedente al sequestro e ha continuato a crescere fino al 2022.
Industrie target
Poiché Emotet è un malware che si autopropaga e che si diffonde attraverso lo spam e il phishing emailsNon è comunemente utilizzato negli attacchi mirati. Spesso, Emotet crea un punto d'appoggio su un particolare sistema o rete, e il malware scaricato successivamente può utilizzare questo accesso iniziale per eseguire attacchi mirati (come le infezioni ransomware). Il metodo di distribuzione "spray and pray" di Emotet significa che può colpire qualsiasi settore, ma il malware viene occasionalmente utilizzato per colpire settori particolari (come i sistemi governativi).
La resurrezione di Emotet attraverso la botnet Trickbot ha avuto anche un impatto sulla sua distribuzione complessiva nei vari settori. Trickbot prende comunemente di mira settori di alto profilo come quello governativo/militare, finanziario/bancario, manifatturiero, sanitario, assicurativo/legale e dei trasporti. che rappresentano oltre la metà delle sue vittime da novembre 2020. Con Emotet scaricato e installato sulle macchine infettate da Trickbot, il malware Emotet ha iniziato con una distribuzione simile e da lì si è ramificato.
Come proteggersi da Emotet
Emotet è progettato per diffondersi tramite e-mail di spam e phishing. Queste e-mail vengono inviate da macchine e account e-mail compromessi e utilizzano link dannosi e allegati infetti per indurre le persone a installare il malware sui loro sistemi.
Questo focus su phishing per la distribuzione significa che le organizzazioni possono proteggersi dalle infezioni di Emotet attraverso i seguenti passaggi:
- Implementare le soluzioni di sicurezza e-mail: L'attenzione di Emotet per la posta elettronica significa che le soluzioni di sicurezza della posta elettronica sono un componente critico della strategia di prevenzione di Emotet. Queste soluzioni devono essere in grado di identificare e bloccare i link malevoli e di utilizzare DISARMO E RICOSTRUZIONE DI CONTENUTO (CDR) per eliminare le funzionalità dannose dai documenti prima di consentire ai contenuti sanificati di raggiungere la casella di posta del destinatario.
- Impiegati del treno: I modelli di distribuzione di Emotet si basano molto sull'inganno dei destinatari, che vengono spinti a cliccare su un link dannoso o ad aprire un allegato in un'e-mail di spam. La formazione dei dipendenti per riconoscere e rispondere correttamente alle e-mail di phishing è essenziale per bloccare la diffusione di Emotet. Le tattiche "spray and pray" di Emotet fanno sì che più dipendenti possano essere colpiti dalla stessa campagna, rendendo la segnalazione fondamentale per il rilevamento e la risposta rapida agli incidenti.
- Endpoint Security: Emotet è una variante di malware sofisticata con tecniche di persistenza ed evasione avanzate. Questo rende Soluzioni avanzate Endpoint Security è fondamentale per individuare ed eliminare le infezioni Emotet che sfuggono alle maglie della rete e infettano un endpoint aziendale.
- Monitoraggio della rete: Emotet viene utilizzato per consegnare ulteriori campioni di malware a un dispositivo infetto tramite comunicazioni di comando e controllo. Il monitoraggio della rete può aiutare a identificare questi download, consentendo all'organizzazione di rintracciare un endpoint infetto.
Rilevamento e protezione Emotet con Check Point
Dalla sua ricomparsa, Emotet è salito rapidamente è ancora una volta una delle varianti di malware più pericolose e prolifiche in circolazione. La sua sofisticazione e il suo design migliorato fanno sì che le infezioni di Emotet possano attivare diversi attacchi e provocare costi e danni significativi per un'organizzazione.
Per saperne di più sulla minaccia di Emotet, consulti il sito di Check Point Cyber Security Report 2023. Poi, scopri di più sulla protezione della tua organizzazione contro Emotet signing up for a free demo of Check Point Harmony Endpoint.
Feedback