Emotet, colpo di grazia: malware disinstallato da tutte le macchine infette

Emotet addio: dopo circa sette anni di crimine digitale, la botnet viene definitivamente cancellata in automatico da tutti i computer ancora contaminati, grazie a un uninstaller diffuso dalla polizia tedesca.

Emotet, ransomware
Emotet cancellato da tutti i computer (unsplash)

La polizia criminale tedesca ha cancellato ogni traccia di Emotet dalla faccia della Terra. La botnet criminale balzata agli orrori delle cronache della sicurezza informatica dal 2014 e smantellata dalle forze dell’ordine internazionali a inizio 2021 sarebbe ormai solo storia: ogni resto del malware è infatti stato cancellato grazie a un software distribuito domenica 25 aprile 2021 dal Bundeskriminalamt (BKA), praticamente la FBI tedesca.

Nel corso degli anni, Emotet ha infettato i computer di tutto il mondo tramite attacchi phishing. Aziende e privati hanno cliccato sui link contenuti in email che si spacciavano per fonti legittime, scaricando malware come QBot e Trickbot che davano il controllo della propria macchina al botnet. Quest’ultimo ne rivendeva poi l’accesso da remoto sul mercato nero. Di norma, Mummy Spider, nome in codice per il gruppo TA542 alle spalle di Emotet, utilizzava i programmi malevoli per l’installazione di ransomnware come Prolock ed EGregor (via QBot), e Ryuk e Conti (Trickbot).

Emotet, un malware-as-a-service dal giro d’affari multi miliardario

Emotet, registro
L’Internet banking tra i bersagli preferiti di Emotet (pixabay.com)

In pratica un servizio malware (“malware-as-a-service”) che Emotet metteva a disposizione della criminalità organizzata internazionale. Secondo le stime della polizia Ucraina, che ha preso parte all’operazione di gennaio scorso, i danni economici a livello globale ammonterebbero a 2,5 miliardi di euro, molti dei quali realizzati tramite truffe collegate all’internet banking.

DAI UN’OCCHIATA A QUESTO—>Malware più diffusi, Emotet e Ursnif i peggiori: ecco come difendersi

Domenica 25 aprile la BKA ha finalmente distribuito EmotetLoader.ddl a 32-bit. Il software per la pulizia di sistema ha disinstallato in automatico il malware che era stato per così dire convogliato in precedenza sui server sequestrati dagli investigatori federali tedeschi, gli stessi che hanno sviluppato l’eseguibile.

TI POTREBBE INTERESSARE>>>Virus Emotet bloccato definitivamente: si passa alla seconda fase

Gli esperti di sicurezza informatica di Malwarebytes, Jerome Segura e Hasherezade, hanno condotto un esperimento per analizzare il funzionamento dell’uninstaller caricato dalla BKA: il modulo ha cancellato i servizi Windows correlati al malware e le chiavi di registro, per lasciare tutto il resto invariato. L’operazione era prevista da gennaio, ma ha dovuto essere congelata per tre mesi per tagliare fuori la botnet dai sistemi infettati, collegandola invece a una infrastruttura messa su per la raccolta delle prove.