エモテ

Emotetは、元々は金融データを盗むことを目的としたバンキング型トロイの木馬として設計されたマルウェアの一種ですが、進化を遂げ、世界中のユーザーにとって大きな脅威となっています。

また Windows, iOS, Android, Chromebook ビジネス向け

Emotetマルウェアについて話そう

エモテットのことをニュースで聞いたことがあるかもしれない。それは何だろう？古代エジプトの王様か、10代の妹のお気に入りのエモ・バンドか？残念ながら違う。

Emotetバンキング型トロイの木馬は、2014年にセキュリティ研究者によって初めて確認された。Emotetは当初、コンピュータに忍び込み、機密情報や個人情報を盗み出そうとするバンキングマルウェアとして設計されました。このソフトウェアの後のバージョンでは、他のバンキング型トロイの木馬を含むスパムやマルウェアの配信サービスが追加されました。

Emotet は、一部のマルウェア対策製品による検出を回避するための機能を使用しています。Emotetはワームのような機能を使用し、他の接続されたコンピュータへの拡散を支援します。これはマルウェアの配布に役立つ。この機能により、国土安全保障省は、Emotet は最もコストのかかる破壊的なマルウェアの1つであり、政府および民間部門、個人、組織に影響を与え、1件あたり100万ドル以上のクリーンアップ費用がかかると結論づけています。

Emotetサイバーセキュリティ製品

ビジネス

Malwarebytes エンドポイント検出と対応
 Malwarebytes エンドポイント保護

エモテとは？

Emotetは、主にスパムメール (malspam)を通じて拡散するトロイの木馬です。感染は、悪意のあるスクリプト、マクロ化された文書ファイル、または悪意のあるリンクを介して行われます。Emotetの電子メールには、正規の電子メールのように見えるようにデザインされた馴染みのあるブランド名が含まれていることがあります。Emotetは、「あなたの請求書」、「支払詳細」、または有名な小包会社からの近日発送など、魅力的な言葉を使ってユーザーを説得し、悪意のあるファイルをクリックさせようとする場合があります。

Emotetは幾度かの変遷を経てきた。初期のバージョンは、悪意のあるJavaScriptファイルとして登場した。後のバージョンは、攻撃者が実行するコマンド・アンド・コントロール（C&C）サーバーからウイルスのペイロードを取得するために、マクロ対応ドキュメントを使用するように進化した。

Emotetは、検出と分析を防ごうとするために、多くのトリックを使用する。特に、Emotetは仮想マシン（VM）内で実行されているかどうかを知っており、サンドボックス環境を検出すると休止状態になる。サンドボックス環境は、サイバーセキュリティ研究者が安全で制御された空間内でマルウェアを観察するために使用するツールだ。

Emotetはまた、アップデートを受け取るためにC&Cサーバーを使用する。これはPCのオペレーティング・システムのアップデートと同じように機能し、外見上の兆候なしにシームレスに行われる。これにより、攻撃者はソフトウェアの更新版をインストールしたり、他のバンキング型トロイの木馬などの追加のマルウェアをインストールしたり、金融情報、ユーザー名とパスワード、電子メールアドレスなどの盗まれた情報の捨て場として機能したりすることができる。

エモテニュース

ℹ️ Emotetは現在、マルスパム文書で直接配布されているpic.twitter.com/pqYwSdIm82
ThreatDown (@Threat_Down) 11月16, 2021

エモテットはどのように広がるのか？

Emotet の主な配布方法はマルスパムです。Emotetはあなたの連絡先リストを略奪し、あなたの友人、家族、同僚、クライアントに自分自身を送信します。これらの電子メールはあなたの乗っ取られた電子メールアカウントから来ているため、電子メールはスパムのようには見えず、受信者は安全だと感じ、悪い URL をクリックし、感染したファイルをダウンロードする傾向が強くなります。

接続されたネットワークが存在する場合、Emotet は一般的なパスワードのリストを使用して拡散し、ブルートフォース攻撃で他の接続されたシステムへの侵入を推測します。重要な人事サーバーのパスワードが単に "password "であれば、Emotetはそこにたどり着く可能性が高い。

研究者たちは当初、EmotetもWannaCryやNotPetya攻撃の原因となったEternalBlue/DoublePulsar脆弱性を利用して拡散していると考えていた。しかし、現在ではそうではないことがわかっている。研究者たちがこの結論に至ったのは、Emotetによってしばしば拡散されるトロイの木馬TrickBotが、EternalBlueのエクスプロイトを利用して所定のネットワーク全体に拡散しているという事実だった。EternalBlue/DoublePulsar脆弱性を利用しているのは、EmotetではなくTrickBotだったのだ。

エモテットの歴史は？

2014年に初めて確認されたEmotetは、今日に至るまでシステムに感染し、ユーザーを傷つけ続けている。これが、2014年の他のトレンド（アイス・バケツ・チャレンジは？）

Emotetのバージョン1は、インターネット・トラフィックを傍受することによって銀行口座の詳細を盗むように設計されていた。それからしばらくして、このソフトウェアの新しいバージョンが検出された。このバージョンはEmotetバージョン2と名付けられ、送金システム、マルスパムモジュール、ドイツとオーストリアの銀行をターゲットにしたバンキングモジュールなど、複数のモジュールがパッケージされていた。

「Emotetトロイの木馬の現在のバージョンには、感染したマシンに他のマルウェアをインストールする機能が含まれています。このマルウェアには、他のバンキング型トロイの木馬やマルスパム配信サービスが含まれている可能性があります。"

2015年1月までに、Emotetの新バージョンが登場した。バージョン3には、マルウェアがレーダーの目をかいくぐるように設計されたステルス・モディフィケーションが含まれており、新たにスイスの銀行をターゲットに追加された。

2018年、Emotetトロイの木馬の新バージョンには、感染したマシンに他のマルウェアをインストールする機能が追加された。このマルウェアには、他のトロイの木馬やランサムウェアが含まれる可能性がある。米Gizmodoによると、2019年7月にフロリダ州レイクシティで発生したEmotetの攻撃により、町はランサムウェアの支払いで46万ドル（約4,600万円）を被りました。この攻撃を分析したところ、Emotetは最初の感染ベクトルとしてのみ機能したことがわかりました。感染すると、EmotetはTrickBotとして知られる別のバンキング型トロイの木馬とRyukランサムウェアをダウンロードした。

2019年のほとんどを比較的静かに過ごした後、Emotetは力強く戻ってきた。2019年の9月、Malwarebytes Labs 、"Payment Remittance Advice "や "Overdue invoice "のような巧妙な文言の件名で、ドイツ語、ポーランド語、イタリア語、英語の被害者をターゲットにしたボットネット主導のスパムキャンペーンについて報告しました。感染した Microsoft Word ドキュメントを開くとマクロが起動し、感染した WordPress サイトからEmotet がダウンロードされます。

エモテットは誰をターゲットにしているのか？

誰もがEmotetの標的だ。現在までに、Emotetは米国とヨーロッパの個人、企業、政府機関を攻撃し、銀行ログイン、財務データ、さらにはビットコイン・ウォレットを盗んでいる。

ペンシルベニア州アレンタウン市へのEmotetの攻撃は、マイクロソフトのインシデントレスポンスチームによる直接の支援を必要とし、市の修復には100万ドル以上の費用がかかったと報告されている。

現在、Emotetは他のバンキング型トロイの木馬をダウンロードして配信するために使用されており、ターゲットのリストはさらに広くなる可能性がある。Emotetの初期バージョンは、ドイツの銀行顧客を攻撃するために使用されました。Emotetの後のバージョンは、カナダ、英国、米国の組織を標的としていました。

"ペンシルベニア州アレンタウン市に対するある注目すべきEmotet攻撃は、マイクロソフトのインシデントレスポンスチームによる直接的な支援を必要とし、市の修復には100万ドル以上の費用がかかったと報告されている。"

エモテットから身を守るには？

あなたは、Emotet がどのように機能するかを学ぶことで、Emotet から自分自身とユーザーを守るための第一歩をすでに踏み出しています。ここでは、あなたが取ることができる追加のステップをいくつか紹介します：

コンピュータ/エンドポイントを MicrosoftWindows 用の最新パッチで最新の状態に保つ。TrickBotは、セカンダリEmotetペイロードとして配信されることが多く、TrickBotはWindows EternalBlue脆弱性を利用して不正な作業を行うことがわかっています。
怪しい添付ファイルをダウンロードしたり、怪しげなリンクをクリックしたりしないでください。疑わしい電子メールを避ければ、Emotetはあなたのシステムやネットワークに最初の足がかりを得ることはできません。マルスパムの見分け方について、時間をかけてユーザーを教育してください。
強力なパスワードの作成について、自分自身とユーザーを教育しましょう。ついでに、二要素認証の使用も始めましょう。
多層的な保護を含む堅牢なサイバーセキュリティプログラムにより、Emotet から自社とユーザーを保護することができます。Malwarebytes ビジネス向け製品およびプレミアムコンシューマ向け製品は、Emotet をリアルタイムで検出してブロックします。

Emotetを削除する方法は？

Emotet に既に感染している疑いがある場合、パニックにならないでください。コンピュータがネットワークに接続されている場合は、直ちに隔離してください。隔離したら、感染したシステムにパッチを当て、クリーンにしてください。しかし、まだ終わりではありません。Emotet はネットワーク全体に広がるため、感染したネットワークに接続すると、クリーンなコンピュータが再び感染する可能性があります。ネットワーク上の各コンピュータを1台ずつクリーンにしてください。面倒なプロセスですが、Malwarebytes ビジネスソリューションを使用すれば、感染したエンドポイントを隔離して修復し、将来の Emotet 感染に対するプロアクティブな保護を提供することができます。

知っていることは戦いの半分であるなら、次のサイトにアクセスしてください。 Malwarebytes Labsにアクセスし、Emotet がどのように検出を回避するのか、そしてEmotet のコードがどのように動作するのか、さらに詳しく学んでください。