I documenti di Office sono ancora un rischio per la sicurezza informatica

Emotet è tornato. I file di Word, Excel e altre applicazioni di Office 365 sono ancora un vettore di pericolose minacce informatiche. Come lo fermiamo?

Dopo quasi una settimana di attesa, Tom ha finalmente ricevuto il preventivo da Tetome Supply.

Non vedeva l’ora di iniziare a esaminarlo. Ma sapeva anche che doveva essere cauto, come aveva imparato nei corsi di cybersecurity trimestrali. Dopo aver verificato con cura l’indirizzo email e il nome del mittente, si è assicurato che l’allegato fosse un documento di Word e non un file .exe. Il testo dell’email, in cui il mittente lo ringraziava per la pazienza e gli chiedeva informazioni sul suo nuovo cagnolino, lo ha ulteriormente rassicurato.

Mentre sorseggiava il caffè e leggeva le notizie del giorno sullo smartphone, sullo schermo è apparso un messaggio per informarlo che il file .doc era stato creato in iOS e occorreva abilitare la modifica e il contenuto. Infine è riuscito a leggere il contenuto del documento e, in questo modo, ha innescato una reazione a catena.

Per quanto ne sapeva Tom, il documento conteneva solo informazioni sui prezzi. Niente faceva supporre che Emotet era stato scaricato da un sito web compromesso tramite un comando Powershell. O che per il backup di Emotet era stato usato Trickbot.

Ma ormai era troppo tardi. Quando Tom ha aperto il suo laptop qualche giorno più tardi, una nota lo informava che tutti i suoi file erano stati criptati e che gli hacker non li avrebbero sbloccati finché Tom non pagava 150.000 dollari in bitcoin. La nota era firmata da Ryuk.

Minacce senza tregua

Nella prima metà del 2019 i PDF dannosi hanno superato i file dannosi di Office 365, per la precisione 36.488 rispetto a 25.461. Ma già nel 2020 il numero di PDF è diminuito dell’8% rispetto allo stesso periodo del 2019, mentre il numero di di file dannosi di Microsoft Office è balzato a 70.184, segnando un aumento del 176%.

La rivista Wired ha definito Emotet il malware più pericoloso di tutto il mondo. Non sorprende quindi che nel gennaio 2021 le forze dell’ordine dei principali paesi abbiano lanciato una massiccia operazione per smantellare l’infrastruttura di Emotet, presente nei server e nei computer di oltre 90 paesi. Questo intervento ha portato all’arresto di criminali e alla confisca di attrezzature, denaro contante e persino lingotti d’oro accumulati dai gruppi criminali.

E in effetti il numero di attacchi basati su file Microsoft Office è subito diminuito. Secondo il Rapporto SonicWall 2022 sul Cybercrime, i PDF sono nuovamente diventati il vettore di attacco preferito e il loro utilizzo per scopi malevoli è aumentato del 52%, mentre i file Microsoft Office dannosi sono diminuiti del 64%. Purtroppo, questa marcata inversione di tendenza non è durata a lungo.

A graph showing the rise of never-seen-before malware variants.

Il ritorno degli attacchi Emotet

Secondo i recenti rapporti di Bleeping Computer, Threatpost e Sans Technology Institute, dopo soli 10 mesi dall’intervento di alto profilo del gennaio 2021, Emotet è tornato a colpire con maggiore energia. I criminali informatici distribuiscono attivamente documenti Microsoft Office, archivi ZIP e altri file infettati con il codice Emotet.

Sebbene sia ancora presto per parlare di una nuova tendenza, stiamo osservando cambiamenti significativi come la crittografia del malware e nuove strategie basate su attacchi di phishing mirati che includono attacchi email reply-chain, notifiche di spedizione, documenti fiscali, rapporti contabili e persino inviti a feste natalizie.

In meno di 10 mesi, tutti gli sforzi per sradicare questa minaccia sono stati praticamente cancellati e siamo tornati al punto di partenza.

Come proteggersi dai file dannosi di Office 365

Nonostante il gran numero di minacce pericolose in circolazione, ci sono molte semplici cose che potete fare per proteggere voi e gli altri utenti della vostra rete. Potete iniziare cambiando le impostazioni di Office 365 per disattivare gli script e le macro e mantenendo aggiornati i vostri dispositivi e sistemi operativi con le ultime patch per Windows.

Potete poi impostare una policy aziendale per impedire il trasferimento di documenti e altri file via email. Inoltre dovreste scaricare e installare regolarmente le patch e gli aggiornamenti distribuiti da Microsoft. Abbiamo tutti cose più importanti da fare, ma se non eseguiamo gli aggiornamenti, permettiamo agli attacchi di sfruttare liberamente queste vulnerabilità.

Per rafforzare la nostra resistenza agli attacchi possiamo adottare anche misure più serie. Il 2021 è stato un altro anno eccezionale per Real-Time Deep Memory Inspection™ (RTDMI), la tecnologia brevettata di SonicWall che ha rilevato 442.151 varianti di malware mai viste prima nel 2021, ovvero un aumento del 65% rispetto al 2020 con una media di 1.211 al giorno.

A graph showing new malicious file type detections in 2021.

Capture ATP rileva il 100% delle minacce con 0% falsi positivi

La cosa migliore è che RTDMI è integrato in Capture Advanced Threat Protection (ATP) di SonicWall. Nei test trimestrali di terze parti eseguiti da ICSA Labs, RTDMI ha identificato il 100% delle minacce dannose senza segnalare neppure un falso positivo per cinque trimestri consecutivi.

Capture ATP con RTDMI utilizza tecniche proprietarie di ispezione della memoria, monitoraggio delle istruzioni della CPU e machine learning per riconoscere e mitigare i cyber attacchi finora sconosciuti, comprese le minacce che non mostrano alcun comportamento dannoso e si nascondono attraverso la crittografia, ovvero il tipo di attacchi che le sandbox tradizionali non riescono generalmente a rilevare.

Questo aspetto è particolarmente importante in casi come quello di Tom, dato che Trickbot ed Emotet usano entrambi la crittografia per nascondere le proprie attività. Emotet è anche in grado di riconoscere se viene eseguito in una macchina virtuale (VM) e rimane dormiente se rileva un ambiente sandbox.