Il trojan Emotet attacca le reti aziendali

Attualmente MELANI osserva diverse ondate di e-mail con documenti word infetti in allegato. Si tratta di un trojan ormai noto da tempo, Emotet (anche detto Heodo). Originariamente conosciuto come trojan e-banking, oggi Emotet viene utilizzato soprattutto per l’invio di spam e per scaricare altri malware. Emotet prova – con e-mail fasulle a nome di collaboratori, soci d’affari o conoscenti – tramite ingegneria sociale cioè, a convincere il destinatario ad aprire un documento word e ad attivare le macro Office in esso contenute.

La settimana scorsa l’Ufficio federale per la sicurezza delle tecnologie dell’inofrmazione tedesco BSI ha diffuso un’allerta [https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html] riguardo Emotet, il quale scarica tra l’altro il trojan e-banking «TrickBot» e si propaga all’interno di una rete aziendale (come un verme informatico) sfruttando la ormai da tempo conosciuta vulnerabilità del protocollo SMB («EternalBlue»).

Secondo le informazioni a disposizione della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI), Emotet viene attualmente utilizzato anche per infettare i computer e i server delle reti aziendali con un trojan di cifratura (ransomware) chiamato «Ryuk ». Ryuk cripta i file memorizzati sul computer o sul server e richiede in seguito all’azienda colpita una notevole somma di riscatto (a partire da CHF 200’000.-). Sono presi di mira solo dispostivi come computer e server con sistema operativo Windows. A causa della componente worm esistente, c’è un alto rischio che il trojan si diffonda nella rete aziendale e causi notevoli danni se l’infezione ha successo.

emotet_v1.1

MELANI ricorda nuovamente le seguenti raccomandazioni:

  • effettuate regolarmente una copia di backup dei dati. La copia di backup deve essere archiviata offline, cioè su un supporto esterno, ad esempio un disco rigido esterno. Assicuratevi pertanto di scollegare il supporto su cui si sta eseguendo il backup dal computer o dalla rete dopo l’operazione di backup. In caso contrario, i dati sul supporto di backup potrebbero venir criptati e resi inutilizzabili in caso di infezione ransomware;
  • sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Oracle Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;
  • segmentate la rete in base a diverse zone di fiducia, aree di applicazione e/o regioni (separazione delle reti client/server/ e controller di dominio così come delle reti di produzione, ciascuna con amministrazione isolata);
  • rispettate il principio dell’assegnazione minima dei diritti, in particolare per i drive di rete (nessun utente dovrebbe avere accesso a tutti i dati se non ne ha bisogno);
  • utilizzate dispositivi dedicati con accesso a internet assente o limitato per la gestione dei sistemi e per effettuare pagamenti.

A causa dell’attuale minaccia rappresentata dalle macro Office, MELANI raccomanda inoltre alle aziende e ai gestori di infrastrutture critiche di:

  • impedire tecnicamente l’esecuzione delle macro Office non firmate;
  • impedire tecnicamente la ricezione di documenti di Office contenenti macro sul gateway di posta elettronica o attraverso i filtri spam.

Per prevenire un’infezione da parte di Emotet e per impedire che vengano scaricati ulteriori malware, MELANI raccomanda di bloccare i siti web utilizzati per la distribuzione di Emotet, sul perimetro della rete come web proxy o DNS. Un elenco di tali siti web è fornito, ad esempio, da abuse.ch: https://urlhaus.abuse.ch/api/

MELANI consiglia inoltre di bloccare la comunicazione di rete con i server utilizzati per controllare i dispositivi infettati da Emotet (Emotet Botnet Command&Control Server – C&C). Un elenco di indirizzi IP che possono essere messi in relazione con Emotet viene pubblicato da Feodo Tracker:
https://feodotracker.abuse.ch/blocklist/

Ulteriori misure e informazioni dettagliate sono contenute nei nostri promemoria:

Promemoria sulla sicurezza delle informazioni per le PMI:
https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide/promemoria-sulla-sicurezza-informatica-per-le-pmi.html

Informazioni inerenti i ransomware:
https://www.melani.admin.ch/melani/it/home/themen/Ransomware.html