Il Re è morto, viva il Re
Il mondo della Cyber Security è fatto di attacchi spietati, furti e rivendita di dati, danni milionari. Ma è fatto anche di difesa organizzata e di contrattacchi.
Un’operazione congiunta globale – chiamata Operazione Ladybird – coordinata da Europol ed Eurojust e a cui hanno preso parte le forze dell’ordine e le autorità giudiziarie di Paesi Bassi, Germania, Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina ha permesso l’interruzione della botnet Emotet.
Emotet è apparso come Banking Trojan nel 2014 e nel corso di questi anni ha raggiunto il picco della diffusione e della notorietà, arrivando a costare, secondo il Dipartimento Homeland Security, oltre 1 milione di dollari alle organizzazioni colpite. A dicembre 2020 ha scalato la classifica dei malware più diffusi stilata da Check Point, piazzandosi al primo posto. Tra marzo e aprile, durante il primo lockdown Emotet è tornato sulla scena con campagne di phishing a tema Covid-19, che abbiamo analizzato qui.
I dettagli dell’operazione
Per l’operazione è stato adottato un approccio nuovo: dopo due anni di indagini e lavoro coordinato, le forze dell’ordine e le autorità giudiziarie hanno acquisito il controllo dell’infrastruttura backend di Emotet e l’hanno rimossa dall’interno. Numerosi esperti di sicurezza hanno lavorato per dirottare simultaneamente centinaia di server command-and-control situati in tutto il mondo, con l’obiettivo appunto di tracciare e distruggere la botnet.
Hanno silenziosamente sostituito macchine di loro proprietà negli indirizzi IP in cui c’erano quelle di Emotet, molte delle quali erano computer precedentemente compromessi e utilizzati per la gestione della botnet, quindi hanno preso il controllo di un server C&C dopo l’altro. In questo modo se una macchina vittima raggiungesse uno degli attuali server, riceverebbe un payload inerte che impedirà ulteriori comunicazioni con la botnet, di fatto sterilizzando ogni pericolo ulteriore.
In passato, operazioni simili hanno portato a un (solamente) temporaneo abbattimento delle botnet, che si ripresentavano poco dopo. Gli autori dell’operazione si dicono fiduciosi che questo non accadrà. Nella dichiarazione della polizia olandese si è reso noto di aver scoperto e interrotto tutti i backup delle infrastrutture, e di aver monitorato i processi per intercettare eventuali tecniche di recovery alternative, così da impedire la ricostruzione di Emotet.
Se Emotet fosse stato distrutto in modo permanente - il condizionale è d’obbligo - il takedown potrebbe effettivamente rappresentare un duro colpo per gli operatori di ransomware in tutto il mondo che hanno causato miliardi di dollari di danni e persino messo in pericolo vite umane all’interno di ospedali presi di mira con i loro tentativi di estorsione, in quanto Emotet ha rappresentato il punto di appoggio per lo sviluppo di altri trojan.
L’operazione Ladybird ha portato inoltre all’arresto di due membri ucraini del gruppo (TA542) e all’identificazione di altri autori.
Mentre le indagini sono ancora in corso, tra le scoperte fatte nel corso dell’operazione fino ad ora è emerso un database contenente gli indirizzi email raccolti dalla botnet. La polizia olandese ha messo a disposizione un portale in cui inserire la propria mail per verificarne la presenza nella raccolta e in caso di risposta affermativa, ricevere una mail di approfondimento.
Forse possiamo escludere il ritorno della botnet per come la conosciamo, ma non possiamo assicurarci che gli autori e i membri ancora in circolazione non daranno vita a nuove avventure criminali, tornando – ad esempio – sottoforma di APT. Così come insegna la mitologia: Ercole dopo aver tagliato una testa all’Idra, dovette affrontarne due.