Emonet, il malware Botnet più prolifico e pericoloso al mondo, è stato eliminato a seguito di un'operazione di polizia pianificato da oltre due anni. A questa botnet sono legati circa il 70% dei malware utilizzati in tutto il modo per rubare dati finanziari e installare ransomware. 

Anche se è iniziato come trojan bancario nel 2014, progettato per rubare credenziali finanziarie, Emotet era diventato uno strumento affittato ai cyber-criminali per entrare nelle reti informatiche target e installare software aggiuntivi dannosi, evolvendosi in una delle forme più potenti di malware. 

Arrivava sotto forma di e-mail dall'aspetto innocuo che, tuttavia, contenevano un collegamento o un allegato infetto, di solito documenti Word che utilizzavano macro per infettare il computer della vittima. I testi delle e-mail e dei documenti venivano regolarmente modificati per fornire una migliore probabilità di convincere le vittime ad aprire le e-mail e installare i malware: i temi utilizzati includevano fatture, avvisi di spedizione, informazioni su COVID-19 ecc. 

Una volta infettato, il computer della vittima veniva aggiunto alla botnet. Epoch 1, Epoch 2 ed Epoch 3 erano i nomi coniati per riferirsi alle botnet separate di Emotet.

Dopo aver guadagnato un punto d'appoggio iniziale ad una rete, Emotet aveva anche la capacità worm di diffondersi su altri computer all'interno della rete, stabilendo inoltre una backdoor sui sistemi Windows. La botnet era anche nota per esplosioni di attività di spamming, seguite da stati di inattività che duravano mesi.

L’Europol, l'FBI, la National Crime Agency del Regno Unito e altri hanno coordinato l'azione che ha portato gli investigatori a prendere il controllo dell'infrastruttura che controllava Emotet, in una delle più significative operazioni contro il cyber-crimine degli ultimi anni.

Le forze dell'ordine nel Regno Unito, Nord America ed Europa avevano lavorato per quasi due anni per mappare l'infrastruttura del sistema, prima che la polizia nazionale dell'Ucraina entrasse nelle proprietà dei cyber criminali per sequestrare i computer incriminati. 

I video delle incursioni caricate dalla Polizia Nazionale dell'Ucraina mostrano ambienti sporchi nei quali i computer venivano utilizzati e una vasta gamma di dispositivi digitali, valute estere e lingotti d'oro che sono stati sequestrati. 

L'indagine ha anche scoperto un database di 600.000 indirizzi e-mail, nomi utente e password rubati dagli operatori della botnet, e la polizia olandese ha caricato una pagina in cui le persone possono controllare se il proprio computer facesse parte della botnet.

Le forze dell'ordine hanno chiuso la botnet dirottandola dall'interno: le macchine infettate da Emotet sono ora dirette verso infrastrutture controllate dalle forze dell'ordine, il che significa che i cyber criminali non possono più sfruttare i computer compromessi e che il malware, pur essendo presente, non può più diffondersi perché i server sono stati chiusi.

Si potrebbe quindi pensare che la "bestia" potrebbe effettivamente non svegliarsi mai più dopo un'operazione di questa portata, ma non dovremmo perdere di vista il fatto che elimare una minaccia di tale portata è un compito estremamente complesso e che la sua distruzione non è affatto un motivo per abbassare la guardia!

Tweet