Enrico e Gianfranco Tonello: gli informatici italiani che ci difendono dagli attacchi dei cybercriminali

“Have I been Emotet” e “doubleextortion.com” sono due iniziative per rendere il cyberspazio un luogo più sicuro e proteggere cittadini e aziende dai guai dei virus informatici.

Si chiamano Enrico e Gianfranco Tonello. Loro sono due fratelli informatici di Padova, e hanno appena ricevuto i complimenti dai marines americani per avere scoperto quali dei loro indirizzi email sono stati infettati. Hanno infatti creato un sistema di esche per intercettare il pericoloso virus bancario Emotet.

Invece, si chiama Luca Mella, l’ingegnere informatico di una piccola azienda del cesenate che nel tempo libero ha sviluppato un metodo per tracciare il fenomeno dei ricatti informatici e gang criminali che distribuiscono i pericolosi ransomware in rete.

Have I been Emotet: cos’è

Il motore di ricerca per sapere se si è stati infettati dal virus Emotet l’ha sviluppato l’italiana TgSoft insieme al Cram, centro di ricerche anti malware. Il servizio funziona un po’ come Google. Una volta inserito nel campo di ricerca il proprio indirizzo di posta elettronica ci permette di scoprire se ci siamo infettati con questo pericoloso malware.

Il virus si trasmette per posta elettronica e potrebbe sembrare la solita email di spam, ma se apriamo gli allegati malevoli dell’email,  il malware va in esecuzione e installa un trojan (un cavallo di Troia). Esso è capace di leggere la rubrica dalla vittima e trasmettere gli indirizzi a server remoti controllati dai criminali. Con le corrispondenti credenziali di accesso. A questo punto Emotet può utilizzare gli account delle vittime per inviare ulteriori messaggi con il codice malevolo incorporato e avviare una catena di infezioni.  

Come funziona…

Come il sito Have I been pwned? Il sito di Tg Soft “Have I been Emotet” (Sono stato colpito da Emotet?) capisce se l’indirizzo email che abbiamo inserito è stato utilizzato per inviare messaggi contenenti il malware Emotet. Non solo, anche se abbiamo ricevuto uno o più messaggi di posta contenenti il malware stesso.

Le email caricate con Emotet vengono intercettate dalle honeypot (il “barattolo di miele”, cioè l’esca) di Tg Soft, vengono bloccate e il destinatario non le riceverà. Ci dice Gianfranco, uno dei fratelli informatici che l’hanno realizzato. “Emotet ruba password e username dell’account di posta, poi le mette via e ti ruba i messaggi della posta in arrivo. In seguito li manda ai server di Comando&Controllo (sono circa 400).

Sulla macchina infetta della vittima Emotet aspetta di ricevere i comandi, e poi manda i messaggi di spam con l’account rubato usando il corpo del messaggio. La cosa grave, aggiunge è che “Se i criminali che gestiscono i server di Emotet li affittano ad altre gang che producono altre minacce, ti scaricano virus diversi ogni volta, come nel caso di Trickbot”.

Gli ingegneri informatici: Enrico e Gianfranco Tonello

I due fratelli ingegneri informatici, Enrico e Gianfranco Tonello sono due veterani dell’informatica. Sono sul mercato da trent’anni con una piccola e dinamica azienda creata negli anni 90, quando di sicurezza informatica si parlava solo nelle università.

Per questa iniziativa gratuita hanno ricevuto i ringraziamenti da aziende del calibro di Swatch, Volkswagen, Airbus e poi dalla N.C.I.S. della Marina Americana. Dai Cert francese e austriaco, dalla polizia belga e australiana, che hanno verificato come i loro domini fossero nel database come mittenti fasulli portatori dell’infezione Emotet.

La double extortion

Proprio per tracciare la recente epidemia di ransomware, Luca Mella, ingegnere esperto di cybersecurity, durante le ferie ha creato il sito doubleextortion.com. L’attacco è in genere accompagnato da una richiesta di riscatto, il ransom, che la vittima deve pagare in criptovalute come Bitcoin. Se non lo paga non ottiene le chiavi necessarie a decifrare i file e a sbloccare il computer.

Insomma, un’estorsione in piena regola. Ma gli esperti hanno convinto le vittime che pagare non è la soluzione: le chiavi di decifrazione potrebbero non arrivare mai. Tuttavia se si temporeggia nel pagare il riscatto, i delinquenti che comandano il ransomware minacciano di pubblicare i dati già rubati alla vittima. Quindi, una doppia estorsione.

Devi pagare per farti sbloccare i sistemi e devi pagare per non vedere i dati dei tuoi clienti alla mercé di chiunque. Funziona così la double extortion, praticata da sei gang criminali: Maze, DoppelPaymer, Revil, NetWalker, Conti, Egregor.

Per capire le tendenze criminali della doppia estorsione Luca Mella utilizza un approccio Osint, che sta per Open source intelligence. Si basa cioè sulle raccolta di informazioni da fonti aperte e ricava molti dati dagli annunci che i gruppi criminali pubblicano nelle darknet. “Per fare le mie analisi uso degli aggregatori, degli script informatici, per recuperare e monitore gli aggiornamenti in questi canali nascosti. “Fare tutto a mano sarebbe impossibile”. L’ingegno italiano al servizio della sicurezza, quella cibernetica.