Il gruppo di hacker TA542, responsabile di Emotet, è rientrato dalle vacanze di Natale. Sulla base delle attività passate e di ciò che i ricercatori Proofpoint hanno riscontrato negli ultimi giorni, una delle minacce più note e pericolose è tornata in attività, chiamando di fatto tutti i target potenziali a prenderne nota e ad adottare misure adeguate per proteggersi.
“Emotet è una delle minacce più pericoloso al mondo, e le organizzazioni dovrebbero prenderla sul serio. Il gruppo ha un’infrastruttura di invio massiccia – nessuno è in grado di operare in volume come loro”, spiega Sherrod DeGrippo, Senior Director of Threat Research and Detection di Proofpoint.
Lunedì 13 gennaio Emotet è tornato in azione con una nuova campagna. In questo caso, Proofpoint ha osservato TA542 prendere di mira potenziali vittime nel mondo occidentale, in particolare nell’industria farmaceutica.
Gli attacchi sono stati realizzati utilizzando email dannose con allegato un documento Microsoft Word con macro. Quando l’utente attiva le macro, viene installato Emotet. In questo caso recente, Emotet scarica The Tick, un Trojan bancario. Se gli attacchi lanciati lunedì erano esclusivamente in inglese, quelli successivi hanno visto l’utilizzo di altre lingue, come cinese, tedesco, italiano, giapponese e spagnolo.
Per capire quanto sia significativa la potenziale minaccia rappresentata dal ritorno di Emotet, è utile guardare all’ultima pausa registrata nelle loro attività, da maggio 2019 fino a fine settembre 2019. Pur risultando del tutto assente nelle ultime due settimane del terzo trimestre (luglio-settembre), Emotet ha comunque rappresentato oltre l’11% di tutti i payload pericolosi registrati nell’intero trimestre. Può bastare questo dato a capire di cosa sia capace TA542 con Emotet. Le campagne lanciate da TA542 hanno grandi volumi e sono distribuite su più settori verticali, lingue e persone. Anche se si concedono 150 giorni di ferie in un anno, come hanno fatto nel 2019, possono fare molti danni.