Microsoft: Il malware Emotet spegne un'intera rete surriscaldando i PC

Il Team di Rilevamento e Risposta (DART) del Gruppo di Soluzioni di Cybersecurity di Microsoft ha dichiarato giovedì che l’intera rete IT di un suo cliente è stata disattivata a causa di computer surriscaldati a causa di un malware Emotet, dopo che uno dei suoi dipendenti è stato ingannato nell’aprire un allegato di un’email di phishing.

Il malware ha infettato i sistemi di Fabrikam (un nome fittizio utilizzato da Microsoft per la vittima nel suo caso studio) rubando le credenziali dell’account admin autenticandosi su nuovi sistemi.

Successivamente ha effettuato movimenti laterali infettando altri sistemi nella stessa rete. Il virus ha bloccato i servizi core massimizzando l’uso della CPU sui dispositivi Windows.

Leggi anche - Il malware Emotet può diffondersi attraverso le reti Wi-Fi

“Siamo lieti di condividere il DART Case Report 002: Arresto Operativo Totale. Nel rapporto 002, copriamo un reale impegno di risposta a un incidente in cui un malware polimorfico si è diffuso attraverso l’intera rete di un’organizzazione,” recita l’annuncio di Microsoft DART.

“Dopo che un’email di phishing ha consegnato Emotet, un virus polimorfico che si propaga tramite condivisioni di rete e protocolli legacy, il virus ha spento i servizi core dell’organizzazione. Il virus ha evitato il rilevamento da parte delle soluzioni antivirus attraverso aggiornamenti regolari da un’infrastruttura di comando e controllo (C2) controllata dall’attaccante e si è diffuso attraverso i sistemi dell’azienda, causando interruzioni di rete e spegnendo servizi essenziali per quasi una settimana.”

Secondo Microsoft, Fabrikam ha contattato DART otto giorni dopo che il dipendente aveva aperto l’email di phishing. A quel punto, tutte le operazioni IT di Fabrikam si erano fermate, inclusa la rete di 185 telecamere di sorveglianza a causa del malware Emotet.

Gli esperti hanno osservato che i PC si surriscaldavano, si bloccavano e si riavviavano a causa di schermate blu, mentre le connessioni Internet rallentavano leggermente a causa di Emotet che consumava tutta la larghezza di banda.

“Quando l’ultimo dei loro computer si è surriscaldato, Fabrikam sapeva che il problema era ufficialmente sfuggito di mano. ‘Vogliamo fermare questa emorragia,’ avrebbe detto un ufficiale,” afferma il rapporto del caso studio DART.

“Gli era stato detto che l’organizzazione aveva un sistema esteso per prevenire gli attacchi informatici, ma questo nuovo virus ha eluso tutti i loro firewall e software antivirus. Ora, mentre osservavano i loro computer bloccarsi uno dopo l’altro, non avevano idea di cosa fare dopo.”

Il malware ha utilizzato i computer compromessi del dipendente per lanciare un attacco di negazione di servizio distribuito (DDoS) e sopraffare la sua rete.

“Funzionari hanno annunciato che il virus minacciava tutti i sistemi di Fabrikam, anche la sua rete di 185 telecamere di sorveglianza,” afferma il rapporto di DART.

“Il suo dipartimento finanziario non poteva completare alcuna transazione bancaria esterna e le organizzazioni partner non potevano accedere a nessun database controllato da Fabrikam. Era il caos.

“Non potevano dire se un attacco informatico esterno da parte di un hacker avesse causato l’arresto o se stavano affrontando un virus interno. Sarebbe stato utile se avessero potuto anche solo accedere ai loro account di rete.

“Emotet ha consumato la larghezza di banda della rete fino a rendere praticamente impossibile utilizzarla per qualsiasi cosa. Anche le email non riuscivano a passare.”

Gli esperti di Microsoft hanno controllato con successo l’infezione da Emotet utilizzando controlli delle risorse e zone di buffer che isolavano le risorse con privilegi di amministratore. Hanno completamente rimosso l’infezione da Emotet dopo aver caricato le firme antivirus e distribuito licenze di prova di Defender Advanced Threat Protection, Azure Security Scan, Azure Advanced Threat Protection e altri strumenti di rilevamento malware specializzati di Microsoft.

Inoltre, ingegneri inversi in loco hanno riparato il Microsoft System Center Configuration Manager, consentendo a Fabrikam di tornare in piedi.

Microsoft raccomanda agli utenti di utilizzare strumenti di filtraggio delle email come Office 365 Advanced Threat Protection (ATP) per rilevare e fermare la propagazione del malware Emotet, così come l’uso dell’autenticazione a più fattori (MFA) per prevenire tali attacchi.