skip to Main Content

Necurs ed Emotet, l’economia di malware e botnet

di Pierguido Iezzi

Il cybercrime e il “mercato azionario” delle TTP, soprattutto in ambito malware

Nel mondo del cybercrime i metodi e le tipologie (TTP) di attacco subiscono costanti variazioni e picchi di popolarità e “valore”, in maniera non troppo dissimile ad una sorta di mercato azionario deviato. L’ultima grande fluttuazione arriva dal mondo delle botnet, dove per la maggior parte del 2019 l’aveva fatta da padrone Necurs. Con l’arrivo del nuovo anno c’è stata però una significativa inversione di tendenza in questo campo che si è potuta osservare dal notevole abbassamento del livello di sofisticazione e di skill di chi – tra i Criminal Hacker – faceva uso di questo malware. Se per lungo tempo questo tipo d’infezione era caratterizzato da messaggi sofisticati che facevano da tramite per dei “payolad” molto pericolosi, recentemente questi sono stati sostituiti da massicce campagne di phishing, a volte anche molto grossolane.

Necurs passa in secondo piano nelle campagne phishing e continua a emergere Emotet

Questo “paradigm shift” è significativo: i gruppi del cybercrime – che operano unicamente con una filosofia di Risk-Reward abbastanza rigida – hanno deciso di aumentare di nuovo il livello di sofisticazione dei loro attacchi abbandonando Necurs. Ciò per molto tempo è stata una delle botnet più diffuse per la dispersione di email di phishing e malware e sicuramente una delle più temute. Individuato per la prima volta nel 2012, la sua popolarità è legata alla sua abilità di bypassare abbastanza agilmente i filtri anti-spam con il risultato – in media – di un rateo d’infezione molto alto. I malware più diffusi attraverso questo metodo? Soprattutto Gameover Zeus, TrickBot e Loki.

Perché questo malware è così sin voga?

Visto questo successo, cosa sta spingendo i Criminal Hacker a spostarsi su un altro tipo di botnet, come Emotet? I gruppi del cybercrime operano con una filosofia di Risk-Reward ed Emotet garantisce una presenza più forte all’interno dei network una volta infettati e permette ai Threat actors di effettuare attacchi più targettizzati. Nato nel 2014 – o almeno a quell’anno risale la sua prima comparsa – il malware era inizialmente stato pensato unicamente come banking malware per sottrarre le credenziali necessarie ad accedere ai conti corrente direttamente dai pc delle vittime. Da quel momento ha subito una rapida evoluzione, riuscendo a sviluppare la capacità di rimanere invisibile alla maggior parte dei sistemi anti malware e quella di diffondersi silenziosamente attraverso le reti dopo il “primo contatto”, aggiungendo anche la funzionalità di botnet, cosa che lo ha reso il nuovo pupillo dei Criminal Hacker per gli attacchi contro i grandi network.

La campagna di Phishing Spam marchiata Necurs

Secondo il dipartimento di Homeland Security Usa, Emotet è al momento il malware più distruttivo in circolazione, con un costo medio per singolo Incident che supera ampliamente il milione di dollari. La sua adozione su larga scala ha di fatto declassato Necurs da botnet Élite a soluzione di basso livello utilizzata da attori scarsamente skillati. Il declassamento è stato collegato principalmente a un singolo evento. Proprio a cavallo del periodo tra il nuovo e vecchio anno sono state infatti tracciate milioni di email inviate da una Botnet con Ip tracciabili alla Lituania, Cile e India. La campagna consisteva nell’invio di un’email contenente un link a un sito web creato adhoc per impostare una truffa “get-rich-quick”. In particolare, le vittime venivano esposte a “Bitcoin Era”, una truffa basata sulla promessa di profitti veloci con il trading Bitcoin.

Con le ultime campagne phishing, il cybercrime punta a rubare informazioni sensibili

La truffa è stata in circolazione in varie forme negli ultimi due anni. Ma ciò che colpisce di più di queste campagne non è la natura dei messaggi di posta elettronica che distribuiscono, ma piuttosto il volume estremamente elevato di spam inviato per ciascuna di esse. Milioni di messaggi al giorno in una campagna aggressiva ma di breve durata, tipica tattica Necurs. Poiché le Botnet restano sotto il controllo dei Criminal Hacker, i bot-herder sono spesso in grado di affittare l’accesso a segmenti della loro rete bot sul mercato nero per varie azioni: dagli attacchi DDoS alle campagne spam via e-mail, alle violazioni finanziarie e altro. E’ da sempre il caso di Necurs, ma l’ultima campagna di spam di bassa lega può essere indicativa del fatto che i gruppi che puntano a ben altre informazioni (come carte di credito o accessi finanziari) si sono allontanati da questo metodo.

Questione di Market Share

La trovata popolarità di Emotet ha già dato un significativo colpo alla popolarità di Necurs. Per esempio, negli ultimi due anni Dridex, TrickBot e gli sviluppatori di IcedID si sono tutti allontanati da Necurs e hanno iniziato a lavorare con Emotet. Molti “banking trojan” si stanno spostando nel territorio degli attacchi ransomware e cominciano a “fiutare” attacchi più mirati. E solo logico che questi siano alla ricerca di una rete bot che mantenga già un punto d’appoggio in reti specifiche e che possa fornire maggiori informazioni sui potenziali obiettivi, hanno detto i ricercatori. Mentre Necurs, in passato, ha trovato il successo bypassando i gateway dedicati allo spam, gli elevati volumi di mail utilizzate nelle recenti campagne sono state rapidamente rilevate e i loro IP sono stati immediatamente “blacklistati”

Emotet d’altronde è una minaccia alla cyber security già da tempo

Emotet, d’altra parte, è già “residente” su reti infette, i suoi operatori possono leggere il contenuto delle email. Da qui una delle tattiche mirate di infezione preferite dai suoi fruitori: quella di inserirsi nelle conversazioni esistenti tra le parti fidate all’interno dell’organizzazione per poi far aprire un allegato. Alcuni Criminal Hacker hanno addirittura formato delle partnership. Questo li ha aiutati a colmare le reciproche lacune di competenze, riducendo la necessità delle capacità che Necurs può mettere in campo. Per esempio, gli operatori dietro TrickBot e IcedID hanno iniziato una collaborazione nel 2018 che alla fine ha allontanato TrickBot da Necurs. Questa collaborazione ha permesso ai due operatori di prendere di mira le vittime del settore bancario e di condividere i profitti, inviando IcedID direttamente come spam via e-mail, e poi agendo come downloader per TrickBot.

L’allontanamento del gruppo dietro TrickBot da Necurs è arrivato anche quando il trojan ha modificato le proprie tattiche

Il malware si è allontanato dall’attività di frode via phishing a favore di attacchi mirati di ransomware che utilizzano i ceppi malware BitPaymer e DopplePaymer. Come nelle migliori storie di mercato – anche se un po’ più dark in questo caso – nonostante i recenti cambiamenti di mercato che hanno avuto un impatto su Necurs dicono che ci potrebbe essere ancora una speranza per la botnet di riconquistare i suoi clienti cybercriminali. Necurs potrebbe essersi ridotta a vendere spam in questo momento, ma questa infrastruttura relativamente resistente è al servizio dei criminali informatici da oltre otto anni e non è ancora in dirittura d’arrivo.

Back To Top