Emotet ritorna, LockBit colpisce Continental

Emotet ritorna, LockBit colpisce Continental

Attacchi effettuati con Emotet prendono di mira anche gli utenti italiani, mentre il gruppo LockBit ha minacciato di pubblicare i dati di Continental.
Emotet ritorna, LockBit colpisce Continental
Attacchi effettuati con Emotet prendono di mira anche gli utenti italiani, mentre il gruppo LockBit ha minacciato di pubblicare i dati di Continental.

Emotet è uno dei malware più noti e pericolosi in assoluto. Le sue tracce erano scomparse dal mese di luglio, ma da alcuni giorni è tornato in attività con una nuova campagna di phishing. Tra le vittime ci sono anche utenti italiani, come dimostrano i nomi dei file inviati via email. LockBit invece è sempre uno dei ransomware più diffusi, come testimoniato dal recente attacco contro Continental.

Il ritorno di Emotet dopo quattro mesi di ferie

La nuova campagna di phishing è stata rilevata in diversi paesi. I cybercriminali inviano email con allegati Excel che sembrano fatture o altri documenti fiscali. Come è noto, quando un file viene scaricato da Internet, Microsoft aggiunge il flag Mark-of-the-Web (MoTW). All’apertura del documento Office viene quindi mostrato un avviso di sicurezza (Visualizzazione protetta). Gli autori dell’attacco hanno trovato un modo per ingannare le vittime.

Nella parte superiore è scritto che, per motivi di sicurezza, l’utente deve copiare il file Excel nella directory Templates. Windows mostrerà un avviso per indicare la necessità dei permessi di amministratore, ma l’utente può cliccare sul pulsante Continua. Quando viene seguito il file, la macro presente nel foglio Excel scarica la DLL di Emotet, caricata in memoria dal comando regsvr32.exe.

Il malware viene eseguito in background e si collega al server remoto per ricevere comandi e scaricare altri payload, ransomware inclusi. Fortunatamente le principali soluzioni di sicurezza, tra cui Norton 360 Premium, rilevano e bloccano i file infetti.

Il gruppo LockBit ha invece colpito Continental, noto produttore tedesco di pneumatici. I cybercriminali hanno minacciato di pubblicare i dati se l’azienda non pagherà il riscatto. Le informazioni rubate potrebbero essere il frutto dell’attacco subito da Continental a fine agosto.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 nov 2022
Link copiato negli appunti