La famigerata botnet Emotet era stata smantellata a gennaio da Europol e altre agenzie investigative. Ieri i malware installati su tutti i computer sono stati rimossi automaticamente da un modulo software distribuito dal Bundeskriminalamt, la polizia criminale tedesca. Il suo funzionamento era stato descritto dagli esperti di Malwarebytes.
Malware Emotet eliminati dai computer
Emotet aggiungeva i computer alla botnet se l’utente cliccava su un link presente nell’email ricevuta o apriva l’allegato. A quel punto i cybercriminali prendevano il controllo del dispositivo e potevano eseguire diverse azioni, tra cui l’installazione dei malware QBot e Trickbot che a loro volta installavano i ransomware ProLock, Egregor, Ryuk e Conti.
Dopo aver preso il controllo dei server usati da Emotet, le forze di polizia hanno modificato la configurazione della botnet in modo da distribuire una “cleanup routine” (EmotetLoader.dll) che elimina automaticamente tutti i malware presenti sui computer infetti. In particolare, il modulo cancella il servizio Windows associato a Emotet e le chiavi del registro prima di terminare l’esecuzione.
Come giorno per avviare la procedura di pulizia è stato scelto il 25 aprile 2021 (circa tre mesi dopo lo smantellamento della botnet) perché gli investigatori dovevano prima identificare i computer, raccogliere le prove e cambiare la configurazione di Emotet, in modo tale da inviare le richieste ai server sequestrati, tagliando quindi il legame con la botnet.
All’inizio del mese, un giudice ha autorizzato l’FBI a rimuovere le web shell installate sui server Microsoft Exchange ancora vulnerabili, senza avvisare gli amministratori dei sistemi.
Aggiornamento (27/04/2021): gli utenti possono utilizzare il servizio Have I Been Pwned per verificare la presenza dell’email tra quelle raccolte da Emotet.
Ti potrebbe interessare
26 apr 2021