di Pierguido Iezzi

Emotet è stato sconfitto grazie a un modulo ad hoc creato dalle forze dell’ordine

Ricerche di recente pubblicazione hanno fatto luce sul modulo Emotet creato dalle forze dell’ordine internazionali al fine di sradicare il malware dai dispositivi infetti. Il 27 gennaio, Europol ha annunciato che un’operazione congiunta tra le forze dell’ordine di Olanda, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina ha preso il controllo dei server della botnet Emotet e ha interrotto il funzionamento del malware. Nel post sul takedown, i ricercatori di cybersecurity hanno notato che la botnet Emotet aveva ugualmente iniziato a rilasciare un modulo ai dispositivi infetti in grado di disinstallare il malware (a partire dal 25 aprile 2021 alle ore 12:00). Il 28 gennaio attraverso un comunicato stampa, infatti, il Dipartimento di Giustizia americano ha confermato che il modulo era stato creato in realtà dalle forze dell’ordine.

Il modulo salva-vittime del malware

Le autorità internazionali, lavorando in collaborazione con l’FBI, hanno infatti sostituito il malware presente nei server localizzati nel proprio ambito di giurisdizione. L’operazione è stata eseguita per attivare il download del file durante un aggiornamento programmato di Emotet.  Il modulo, peraltro, è stato sviluppato dall’agenzia federale tedesca Bundeskriminalamt (BKA). Questa è riuscita a tenere in quarantena i computer infetti, diventati parte nel corso degli ultimi anni della botnet responsabile per la diffusione del codice malevoli. È stata necessaria un’identificazione dei sistemi colpiti per comprendere l’estensione del problema e identificare chiaramente i “corpi del reato”, così da permettere agli utenti colpiti di ripulire il sistema ed evitare la ripetizione di eventi simili.  A tal fine, i parametri di comunicazione del software sono stati settati in modo che i sistemi colpiti non potessero più entrare in contatto con l’infrastruttura dei cyber criminali, ma solo con una creata ad hoc dalle forze dell’ordine.

Anche se il takedown è stato un successo, rimangono dei quesiti irrisolti

Pur sapendo che il modulo rilasciato per infettare i dispositivi era stato creato dalle forze dell’ordine per disinstallare il malware, rimangono comunque dei quesiti irrisolti. Ad esempio, perché la disinstallazione è stata pianificata a 2 mesi di distanza dal comunicato? Cosa accade prima della data fissata il 25 aprile 2021 ai dispositivi compromessi? Proviamo a dare una risposta a queste domande. Il nuovo modulo distribuito dall’agenzia tedesca si chiama ‘EmotetLoader.dll.’ ed è un DLL a 32-bit. Durante il processo di rimozione di Emotet, il programma di disinstallazione elimina solo i servizi Windows associati, la chiave di registro in esecuzione automatica e poi esce dal processo. Questo conferma che, fino al 25 aprile, il modulo installato consentirebbe la permanenza del malware sul dispositivo.

Il falso aggiornamento del malware blinda le vittime del malware

La differenza fondamentale sta nel fatto che, ora, il server C2 di Emotet è configurato per utilizzare i server delle forze dell’ordine localizzati in Germania. Grazie al controllo degli organi di giustizia sulla botnet, il malware non potrà continuare a scaricare altri moduli per infettare altri PC o eseguire altre azioni dannose. Il nuovo modulo, creato dal Bundeskriminalamt (BKA) verrà installato in tutti i dispositivi infetti, sostituendo efficacemente tutti i moduli e i programmi installati da Emotet all’interno del sistema. Ciò significa che per le vittime del malware la nuova versione avrà la forma di un aggiornamento, con una vera e propria release che sostituirà la precedente. Così sarà possibile avere una chiara idea dei percorsi di installazione e pulire del tutto il dispositivo una volta passata la scadenza.

Perché le forze dell’ordine hanno aspettato due mesi per distruggere la botnet di Emotet?

Rimane da capire il perché dell’attesa di 2 mesi per disinstallare Emotet, invece di un’azione immediata. Sulla base della nota di BKA, è probabile che tale scelta sia motivata dalla volontà di raccogliere ulteriori indizi e prove sul gruppo del cybercrime che lo gestiva. Potrebbe essere anche per identificare ulteriori vittime dell’attacco in ambiente aziendale e avvertirle l dei rischi di infezione verso gli altri sistemi informatici collegati. Una cosa è sicuramente certa: rimuovere un’infezione del malware senza che la vittima ne sia a conoscenza ha uno svantaggio significativo. L’esistenza stessa di Emotet, se scoperta, può infatti fungere da campanello d’allarme sui rischi che anche altri malware possano essere stati impiantati sui computer. Oppure sulla possibilità che ci sia stato un data breach. Dopo il 25 aprile, però, sarà più difficile indagare su ciò che può essere successo.

Cosa fare adesso

La facilità con cui Emotet si è espanso nel tempo è dovuta alla sia al volume delle sue campagne sia alla generale mancanza di rispetto delle best practice di CyberSecurity. In particolare, essendo un malware che fa fortemente affidamento sul phishing, valgono sempre i consigli del caso: diffidare sempre degli allegati e-mail non richiesti e non abilitare mai le macro in un documento Word a meno che non siate assolutamente convinti che sia legittimo. Oltre a questo, tuttavia, la polizia nei Paesi Bassi dice di aver sequestrato un database di circa 600.000 indirizzi e-mail e password da uno dei server di Emotet. Se volete controllare se i vostri dati potrebbero essere stati compromessi, potete visitare una pagina creata ad hoc sul sito della polizia nazionale olandese, che vi avviserà se siete a rischio. Un’iniziativa che a breve potrebbe essere replicata dagli altri organismi di polizia nei vari Paesi.

Non abbassiamo la guardia!