Il recupero relativamente rapido di Emotet, a seguito di un giro di vite internazionale, sottolinea la capacità dell’attore della minaccia di cambiare tattiche e obiettivi, mentre i fornitori comuni tentano di superare il punto di attacco precedentemente preferito, Microsoft Office.
“Questi rapidi cambiamenti indicano che gli aggressori dispongono di un ampio arsenale di tattiche e tecniche a cui possono attingere per attaccare le aziende”, ha scritto in un’e-mail Patrick Schläpfer, analista di malware presso HP. “In generale, si tratta di reazioni prevedibili da parte degli attori delle minacce ad aziende sempre più protette“.
Il mese scorso Microsoft ha iniziato a bloccare per impostazione predefinita le macro ottenute da Internet, tuttavia molti individui hanno ancora le macro abilitate e possono essere indotti a fare clic sulla cosa sbagliata, ha scritto Alex Holland, analista senior di malware presso HP Wolf Security, nel rapporto. Le macro consentono agli utenti di raggruppare più comandi di uso frequente in un’attività automatizzata.
Emotet ha rappresentato il 9% di tutto il malware identificato da HP Wolf Security nel primo trimestre. Il gruppo ha continuato a incorporare malware nelle macro di Microsoft Office, prendendo di mira soprattutto le organizzazioni giapponesi con fogli di calcolo Excel dannosi utilizzando il thread hijacking delle e-mail.
Mentre l’e-mail rimane il vettore più comune in generale per la distribuzione del malware, rappresentando il 69% delle minacce, HP Wolf Security ha rilevato diversi tipi di file che distribuiscono malware. Si è registrato un aumento trimestrale del 476% dei file di archivio Java e un aumento del 42% dei file JavaScript.
HP non ha rilevato alcun cambiamento nelle tattiche di Emotet durante il primo trimestre, ma più recentemente ha notato un cambiamento nel meccanismo di distribuzione. Il gruppo è passato temporaneamente dai documenti di Office ai file di collegamento alla fine di aprile, ha dichiarato Schläpfer. “Emotet ha cambiato ripetutamente tattica nel corso dell’ultimo trimestre e questo potrebbe essere dovuto a una serie di ragioni“.
Infatti, all’inizio di questa settimana Netskope ha dichiarato che il numero di documenti Office dannosi bloccati attraverso la sua piattaforma è tornato ai livelli precedenti a Emotet. “Non stanno scomparendo solo perché i file di Office sono diventati più difficili da armare“, ha dichiarato Ray Canzanese, direttore della ricerca sulle minacce presso i Threat Labs di Netskope. “Finora abbiamo osservato alcune centinaia di varianti diverse di file di collegamento dannosi diffusi da Emotet“.
HP Wolf Security ha dichiarato di aver rilevato minacce utilizzando 545 diverse famiglie di malware durante il primo trimestre, con Emotet, AgentTesla e Nemucod come primi tre.
