Portata a termine la la più grande operazione di Polizia informatica degli ultimi dieci anni: il virus Emotet è stato neutralizzato.
“La sicurezza informatica è una guerra, non una battaglia. Il crimine è una realtà umana e Internet è soggetto a questi interessi umani criminali. Ma questa è una storia di successo, una vittoria per coloro che lottano per proteggere vittime innocenti. Oggi festeggiamo“. Con queste parole il Team Cymru, azienda privata che si occupa di cybersicurezza, commenta l’operazione internazionale di Polizia che ha portato allo smantellamento della rete di server di controllo del noto malware “Emotet“.
All’operazione hanno partecipato copri di Polizia di Olanda, Germania, Francia, Lituania, Canada, Stati Uniti, Regno Unito e Ucraina, con la collaborazione del Team Cymru, del collettivo di hacker bianchi Cryptolaemus e altri soggetti privati. Il risultato è di quelli da incorniciare: le tre “botnet" (cioè le tre reti di server che controllano da remoto le operazioni del virus Emotet) chiamate Epoch 1, Epoch 2 ed Epoch 3 sono da oggi sotto il controllo delle forze di Polizia. In pratica sono sequestrate e tutte le copie del virus Emotet sparse per il mondo, adesso, quando provano a connettersi ai server non ottengono più la risposta prevista. Il virus c’è ancora, ma non può più operare.
L’operazione di Polizia
C’è voluto molto tempo e molta coordinazione tra le varie forze di Polizia per “sequestrare" le botnet di Emotet. Non bastava bloccare i server gradualmente, uno ad uno, perché si sarebbe dato tempo ai cybercriminali di reagire. The operation was supposed to be a real "blitz", a massive cyber raid on Emotet's servers to knock out as many as possible, all at the same time.
The goal was to reach and block at least 65% of the servers, but the result was much greater and the operation was a real success. According to those involved, it was the largest cyber-police operation in the last decade.
The World's Most Dangerous Virus
According to the cyber-crime watchdog, Emotet is the world's most dangerous malware. It is not so much for the code that composes it, but for the criminal network that manages it. In fact, Emotet is just a key that opens a thousand doors.
In fact, once the victim computer is infected, Emotet reads a list of server addresses to connect to in order to download other viruses and receive other information. If the first server doesn't respond, it moves on to the next one, then to the next one and so on until one of the servers on the list doesn't respond and sends what Emotet expects to receive.
That is, other malware, Trojans, ransomware and viruses of all kinds: in the last few years, Emotet has downloaded to the victim computers all the Gotha of cyber malfeasance, such as Ryuk, TrickBot and many others. The real strength of Emotet, therefore, is in the three powerful Epoch botnets to which it connects.
The international police operation, for this reason, had two phases: the first one, in which companies and private subjects of the global cybersecurity community collaborated, consisted in reconstructing the list of control servers, divided in the three Epoch networks; the second one consisted in penetrating the three networks and blocking a large number of servers.
The hope was not so much to block them all, but to be able to intercept all the calls from Emotet that came in. In this way the virus would have stopped, it would not have passed to the next server that, maybe, was not among those seized. Successful operation, now the Internet is a safer place.