A gennaio scorso avevo segnalato che un intervento coordinato di varie forze dell’ordine in numerosi paesi aveva messo fuori uso Emotet, uno dei malware più diffusi, che da solo era responsabile di circa il 30% di tutti gli attacchi informatici.
La tecnica era classica: un documento Word, che molti utenti ritengono innocuo, conteneva il malware, che veniva lanciato se la vittima apriva il documento e attivava le macro in Microsoft Word.
Ora è arrivata la conclusione dell’intervento di polizia: il 25 aprile scorso i computer che erano stati infettati da Emotet hanno cancellato il malware. Questo è stato possibile perché le forze di polizia avevano preso il controllo degli aggiornamenti di Emotet e ne avevano diffuso uno autodistruttivo.
Alla scadenza impostata, appunto il 25 aprile, è scattata l’autodistruzione. Il portale dedicato ad Emotet presso Abuse.ch indica ora zero computer infetti, che è un risultato notevolissimo, considerato che Emotet aveva preso il controllo di oltre un milione di computer in tutto il mondo, generando incassi illegali per oltre 2 miliardi di dollari.
Va notato che in un intervento come questo le forze di polizia in sostanza aggiornano forzatamente i computer infettati, senza chiedere il consenso dei rispettivi proprietari, ponendo interrogativi sulla legalità di questa tecnica, indubbiamente efficace ma potenzialmente pericolosa. Ovviamente in questo caso nessun protesta, però è formalmente un’intrusione.
Anche l’FBI di recente ha usato lo stesso approccio per ripulire a forza i server Microsoft Exchange infettati da una serie di attacchi denominati Hafnium, visto che i legittimi proprietari di questi server si ostinavano a non aggiornarli.