Ma andiamo con ordine. Il motore di ricerca per sapere se si è stati infettati dal virus Emotet l’ha sviluppato l’italiana TgSoft insieme al Cram, centro di ricerche anti malware. Il servizio funziona un po’ come Google: una volta inserito nel campo di ricerca il proprio indirizzo di posta elettronica ci permette di scoprire se ci siamo infettati con questo pericoloso malware che impazza dal 2014 e che ci spia le email. Il virus si trasmette per posta elettronica e potrebbe sembrare la solita email di spam, ma se apriamo gli allegati malevoli dell’email, in Word ed Excel, mascherati da fattura, conteggio o ricevuta pacchi, il malware va in esecuzione e installa un trojan (un cavallo di Troia), capace di leggere la rubrica dalla vittima e trasmettere gli indirizzi a server remoti controllati dai criminali. Con le corrispondenti credenziali di accesso. A questo punto Emotet può utilizzare gli account delle vittime per inviare ulteriori messaggi con il codice malevolo incorporato e avviare una catena di infezioni. Ma può anche scaricare componenti aggiuntivi come TrickBot, il ransomware contro cui Microsoft, Eset e lo UsCybercommand stanno combattendo senza quartiere perché si teme possa essere usato per interferire con le elezioni USA. Il ransomware è infatti un tipo di malware che blocca l’accesso ai nostri file e può anche bloccarne lo schermo rendendo il dispositivo inutilizzabile.
Il servizio di Tg Soft fa il verso al più noto “Have I been Pwned!”, in italiano traducibile come “Sono stato punito?” (pwned nei videogame indica la sconfitta totale o l’umiliazione da parte di un rivale). Il sito, creato dall’esperto di cybersicurezza Troy Hunt, ci dice infatti se il nostro indirizzo email è finito in qualche database rubato o messo in vendita nel Darkweb, magari per commettere reati col nostro nome. Il database di Hunt ha ormai diversi miliardi di email e password rubate. Fate la prova per vedere se ci siete anche voi.
Come il sito Have I been pwned? Il sito di Tg Soft “Have I been Emotet” (Sono stato colpito da Emotet?) capisce se l’indirizzo email che abbiamo inserito è stato utilizzato per inviare messaggi contenenti il malware Emotet o se abbiamo ricevuto uno o più messaggi di posta contenenti il malware stesso. Dal sito apprendiamo che a Repubblica è successo. Almeno quattro giornalisti hanno ricevuto il malware.
Le email caricate con Emotet vengono intercettate dalle honeypot (il “barattolo di miele”, cioè l’esca) di Tg Soft, vengono bloccate e il destinatario non le riceverà. Ci dice Gianfranco, uno dei fratelli ingegneri che l’hanno realizzato: “Emotet ruba password e username dell’account di posta, sia esso MsOutlook o Thunderbird, poi le mette via e ti ruba i messaggi della posta in arrivo, in seguito li manda ai suoi C2 – i server di Comando&Controllo (sono circa 400). Sulla macchina infetta della vittima Emotet aspetta di ricevere i comandi, e poi manda i messaggi di spam con l’account rubato usando il corpo del messaggio delle corrispondenze avute coi nostri contatti in una ‘reply chain’, così da fingersi un mittente legittimo con cui abbiamo scambiato la posta per ingannare più facilmente la vittima”. La cosa grave, aggiunge è che “Se i criminali che gestiscono i server di Emotet li affittano ad altre gang che producono altre minacce, ti scaricano virus diversi ogni volta, come nel caso di Trickbot”.
I due fratelli ingegneri, Enrico e Gianfranco Tonello sono due veterani dell’informatica. E sono sul mercato da trent’anni con una piccola e dinamica azienda creata negli anni 90, quando di sicurezza informatica si parlava solo nelle università. Per questa iniziativa gratuita sono stati ringraziati da aziende del calibro di Swatch, Volkswagen, Airbus e poi dalla N.C.I.S. della Marina Americana, dai Cert francese e austriaco, dalla polizia belga e australiana, che hanno verificato come i loro domini fossero nel database come mittenti fasulli portatori dell’infezione Emotet.
La double extortion
Proprio per tracciare la recente epidemia di ransomware, Luca Mella, ingegnere esperto di cybersecurity, durante le ferie ha creato il sito doubleextortion.com per capire l’andamento del fenomeno della doppia estorsione. L’attacco è in genere accompagnato da una richiesta di riscatto, il ransom, che la vittima deve pagare in criptovalute come Bitcoin. Se non lo paga non ottiene le chiavi necessarie a decifrare i file e a sbloccare il computer. Insomma, un’estorsione in piena regola. Ma gli esperti hanno convinto le vittime che pagare non è la soluzione: le chiavi di decifrazione potrebbero non arrivare mai. Tuttavia se si temporeggia nel pagare il riscatto, cosa normale per aziende e amministrazioni che hanno diversi livelli decisionali, i delinquenti che comandano il ransomware minacciano di pubblicare i dati già rubati alla vittima: una doppia estorsione, quindi. Devi pagare per farti sbloccare i sistemi e devi pagare per non vedere i dati dei tuoi clienti alla mercé di chiunque. Funziona così la double extortion, praticata da sei gang criminali con lo stesso nome dei ransomware che usano per depredare la vittime: Maze, DoppelPaymer, Revil, NetWalker, Conti, Egregor.
Luca Mella ha deciso quindi di offrire il servizio per tenere traccia di tutti gli attacchi di questo tipo e ha scoperto che i settori attaccati in Italia dai criminali sono agroalimentare, tecnologico e delle comunicazioni. Il sito fa il conteggio di questi nuovi eventi per classificarli, vedere come evolve il fenomeno in termini quantitativi e di che natura sono le organizzazioni interessate. Contattato al telefono da Repubblica, Luca Mella ci ha detto: “La cosa che mi ha sorpreso è vedere l’incremento costante degli attacchi e del numero di attori, e vedere che le aziende colpite sono sia le Pmi sia quelle che fatturano miliardi. Esiste una trasversalità del fenomeno che può mettere in ginocchio le aziende da poche settimane a un mese”.
Per capire le tendenze criminali della doppia estorsione Luca Mella utilizza un approccio Osint, che sta per Open source intelligence, si basa cioè sulle raccolta di informazioni da fonti aperte e ricava molti dati dagli annunci che i gruppi criminali pubblicano nelle darknet per fare pressione sulle aziende attaccate. Luca li monitorizza: “Per mettere insieme i dati uso le fonti aperte ed è proprio così che ho potuto conoscere il caso di Luxottica”. L’azienda italiana di occhiali era stata oggetto di un attacco ransomware poche settimane fa e per questo obbligata a mandare a casa gli operai. Inizialmente aveva sostenuto che nessun dato era stato trafugato finché si è sparsa la notizia della loro pubblicazione online. “Per fare le mie analisi uso degli aggregatori, degli script informatici, per recuperare e monitore gli aggiornamenti in questi canali nascosti e identificare sia le probabili vittime, che gli autori della doppia estorsione”, aggiunge. “Fare tutto a mano sarebbe impossibile”. L’ingegno italiano al servizio della sicurezza, quella cibernetica.
