Rileva l’attività di Emotet: il famigerato malware riemerso per colpire i sistemi a livello mondiale

[post-views]
Marzo 16, 2022 · 4 min di lettura
Rileva l’attività di Emotet: il famigerato malware riemerso per colpire i sistemi a livello mondiale

Il famigerato Emotet è tornato, con la sua rinascita di Epoch 5, dopo che tutti i server di comando e controllo (C&C) della botnet sono stati interrotti in una operazione congiunta internazionale delle forze dell’ordine denominata Operation Ladybird all’inizio del 2021. Secondo i ricercatori, era solo questione di tempo prima che l’infrastruttura C&C di Emotet si ripristinasse e iniziasse una campagna di attacchi informatici a tutto campo. E mentre i manutentori del malware rimangono sconosciuti, questa campagna coincide sospettosamente con l’invasione russa dell’Ucraina.

Da SOC Prime, continuiamo a rinnovare i nostri contenuti di rilevazione così da poter catturare il prima possibile l’attività più recente di Emotet e simili. Di seguito troverai le regole di rilevamento più recenti e un’analisi approfondita.

Rilevamento Attacchi Emotet

Per rilevare il comportamento più recente di Emotet, consulta le regole create dal nostro sviluppatore Threat Bounty Furkan Celik:

Emotet Rilevato di Nuovo nei File MS Office (Marzo) (tramite evento di registro)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio

FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

Le regole sono allineate con l’ultimo framework MITRE ATT&CK® v.10, trattando la tattica di Evasione della Difesa con Modifica del Registro (T1112) come tecnica principale.

Rilevamento di Nuovi Comportamenti di Emotet (Marzo) (tramite creazione di processi)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache, Kafka ksqlDB, Securonix, AWS OpenSearch.

Le regole sono allineate con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Evasione della Difesa con Esecuzione di Proxy Binario Firmato (T1218) come tecnica principale.

Le organizzazioni dovrebbero anche essere consapevoli che una volta che questa botnet entra nella rete, può scaricare altre varianti di attacchi malware come Emotet che provocherebbero ulteriori exploit di comportamenti diversi. Per questo motivo, è necessario controllare eventuali segni di danni collaterali come ransomware insieme alla distribuzione bot di Emotet. Per trovare tutti i contenuti che affrontano il comportamento malevolo di Emotet, puoi controllare i contenuti di rilevamento disponibili sulla piattaforma di SOC Prime.

I difensori informatici sono più che benvenuti a unirsi al nostro programma Threat Bounty per attingere alla potenza della comunità e ottenere ricompense per i loro contenuti di rilevazione delle minacce.

Visualizza Rilevamenti Unisciti a Threat Bounty

Processo di Infezione Emotet

Per illustrare l’importanza della rinascita di Emotet, Proofpoint ha trovato oltre 2,73 milioni di email di phishing inviate da Emotet nella prima settimana di marzo 2022. Era più del numero delle stesse email per l’intero mese di febbraio 2022 (2,07 milioni). In precedenza, a novembre 2021, è stata rilevata una rete di 130.000 nuovi bot in 179 paesi.

Nuove prove di attività di Emotet mostrano che gli attaccanti hanno utilizzato nuove funzionalità per operare inosservati e non rilevati dai sistemi di sicurezza delle loro vittime. Per questo, gli avversari hanno crittografato il traffico di rete tramite crittografia a curva ellittica (ECC) e separato la lista dei processi in un proprio modulo. Inoltre, le nuove versioni del malware tendono a raccogliere più informazioni sugli host infetti.

I ricercatori di Black Lotus Labs menzionano che la velocità media della nuova campagna di Emotet è di circa 77 Tier 1 C&C unici al giorno dalla fine di febbraio 2022 fino al 4 marzo 2022, con la maggior parte delle posizioni C2 di Emotet essere negli Stati Uniti e in Germania. Nel frattempo, i bot infetti sono principalmente concentrati in regioni come Asia, India, Messico, Sud Africa, Cina, Brasile e Italia. Vista la quantità di dispositivi Windows obsoleti, è comprensibile perché queste regioni sono state colpite così pesantemente.

La botnet Emotet cresce a una velocità senza precedenti finché riescono a infettare le macchine di milioni di vittime e trasformarle in bot malevoli. Fermarli è possibile unendosi all’approccio collaborativo di difesa. Unisciti alla piattaforma SOC Prime Detection as Code e ottieni accesso immediato ai contenuti più recenti che ti aiuteranno a rilevare le minacce informatiche più recenti e furtive. E se senti di poter contribuire con conoscenze preziose, invia i tuoi contenuti di rilevazione al nostro programma di crowdsourcing e ottieni ricompense ricorrenti per i tuoi contenuti unici.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie