La botnet Emotet è stata smantellata da un’operazione globale di forze dell’ordine e autorità giudiziarie. La rete di server infetti è stata usata per azzerare la minaccia stessa
Un’azione congiunta di forze dell’ordine e autorità giudiziarie di tutto il mondo ha permesso di interrompere la botnet Emotet assumendo il controllo della sua infrastruttura.
In termini di efficacia e numerosità di vittime, Emotet è stata una delle più significative minacce informatiche globali dell’ultimo decennio, arrivando addirittura a essere definita dagli esperti di cybersecurity di Sophos “più pericolosa di Wannacry”, l’attacco ransomware che nel 2017 colpì computer e reti a livello globale. Nel 2014 Proofpoint ha individuato l’autore di Emotet come il Threat Actor (Ta) 542 e da allora ha osservato centinaia di migliaia di email veicolare il malware giornalmente.
Lo shutdown di Emotet è stato il risultato di uno sforzo congiunto delle forze dell’ordine di Paesi Bassi, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, coordinato a livello internazionale dall’Europol e dall’agenzia dell’Unione europea per la cooperazione giudiziaria penale, Eurojust.
L’infrastruttura che veniva usata da Emotet coinvolgeva diverse centinaia di server sparsi in tutto il mondo e tutti dotati delle funzionalità necessarie per gestire da remoto i computer delle vittime infettate, diffondere il malware verso nuovi bersagli e servire da supporto ad altri gruppi cybercriminali. La presenza di così tanti server dislocati in giro per il mondo serviva per incrementare la resilienza della botnet contro i tentativi di rimozione.
Proprio per questo motivo le autorità e le forze dell’ordine coinvolte nell’operazione hanno collaborato creando una strategia che ha permesso di staccare la spina alla botnet. Per farlo hanno utilizzato un approccio innovativo e unico del suo genere prendendo il controllo della botnet dall’interno e reindirizzando poi i computer infettati delle vittime verso di essa, interrompendo così il diffondersi del malware.
“Considerando che questa azione sembra essere stata portata sull’infrastruttura backend della botnet, potrebbe davvero essere la sua fine. Inoltre, se gli autori dietro la botnet (TA542) sono stati arrestati o in qualche modo la loro attività interrotta, anche questo potrebbe avere un impatto significativo sul potenziale delle operazioni future” ha commentato Sherrod DeGrippo, senior director of threat research and detection di Proofpoint.
Infine, nell’ambito dell’indagine penale condotta dalla polizia nazionale olandese su Emotet, è stato scoperto un database contenente indirizzi email, nomi utente e password rubati dai cybercriminali. Gli utenti possono verificare se il l’indirizzo è stato compromesso tramite il sito della polizia olandese.
Leggi anche
Potrebbe interessarti anche