Emotet

Emotet to rodzaj złośliwego oprogramowania, które początkowo stworzono jako trojan bankowy do kradzieży danych finansowych, ale teraz jest dużym zagrożeniem dla użytkowników na całym świecie.

POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Porozmawiajmy o złośliwym oprogramowaniu Emotet

Być może słyszałeś o Emotet w wiadomościach. Czym jest: starożytnym królem Egiptu, ulubionym emo zespołem twojej siostry? Niestety, nie.

Trojan bankowy Emotet został po raz pierwszy zidentyfikowany przez badaczy bezpieczeństwa w 2014 roku. Emotet został pierwotnie zaprojektowany jako złośliwe oprogramowanie bankowe, które próbowało wkraść się do komputera użytkownika i wykraść poufne i prywatne informacje. W późniejszych wersjach oprogramowania dodano usługi spamowania i dostarczania złośliwego oprogramowania - w tym inne trojany bankowe.

Emotet używa funkcji, które pomagają oprogramowaniu unikać wykrycia przez niektóre produkty antywirusowe. Emotet wykorzystuje zdolności przypominające robaka do rozprzestrzeniania się na inne podłączone komputery. Pomaga to w dystrybucji złośliwego oprogramowania. Ta funkcjonalność skłoniła Departament Bezpieczeństwa Wewnętrznego do wniosku, że Emotet jest jednym z najkosztowniejszych i najbardziej destrukcyjnych złośliwych programów, wpływającym na sektor rządowy i prywatny, jednostki i organizacje oraz kosztującym ponad 1 milion dolarów za incydent związany z czyszczeniem.

Produkty dla ochrony przed Emotet

Dla biznesu

Wykrywanie i reagowanie w punktach końcowychMalwarebytes
Ochrona punktów końcowych Malwarebytes

Czym jest Emotet?

Emotet to trojan, który rozprzestrzenia się głównie za pośrednictwem wiadomości spamowych (malspam). Infekcja może nastąpić za pośrednictwem złośliwego skryptu, plików dokumentów z włączonymi makrami lub złośliwego łącza. E-maile Emotet mogą zawierać znajomy branding zaprojektowany tak, aby wyglądał jak legalna wiadomość e-mail. Emotet może próbować przekonać użytkowników do kliknięcia złośliwych plików, używając kuszącego języka o "Twojej fakturze", "Szczegółach płatności" lub prawdopodobnie nadchodzącej przesyłce od znanych firm kurierskich.

Emotet przeszedł kilka iteracji. Wczesne wersje pojawiły się jako złośliwy plik JavaScript. Późniejsze wersje ewoluowały w celu wykorzystania dokumentów z obsługą makr do pobierania ładunku wirusa z serwerów dowodzenia i kontroli (C&C) uruchomionych przez atakujących.

Emotet używa różnych sztuczek, aby uniknąć wykrycia i analizy. Co ważne, Emotet wie, czy działa w wirtualnej maszynie (VM) i pozostanie uśpiony, jeśli wykryje środowisko sandbox, które jest narzędziem używanym przez badaczy bezpieczeństwa do obserwowania złośliwego oprogramowania w bezpiecznej, kontrolowanej przestrzeni.

Emotet wykorzystuje również serwery C&C do otrzymywania aktualizacji. Działa to w taki sam sposób, jak aktualizacje systemu operacyjnego na komputerze i może odbywać się płynnie i bez żadnych zewnętrznych oznak. Pozwala to atakującym instalować zaktualizowane wersje oprogramowania, instalować dodatkowe złośliwe oprogramowanie, takie jak inne trojany bankowe, lub działać jako wysypisko skradzionych informacji, takich jak dane uwierzytelniające, nazwy użytkowników i hasła oraz adresy e-mail.

Nowości Emotet

ℹ️ Emotet jest teraz rozpowszechniany bezpośrednio za pośrednictwem dokumentów malspamowych. pic.twitter.com/pqYwSdIm82
— ThreatDown (@Threat_Down) Listopad 16, 2021

Jak rozprzestrzenia się Emotet?

Główna metoda dystrybucji Emotet to malspam. Emotet przeszukuje twoją listę kontaktów i wysyła się do twoich przyjaciół, rodziny, współpracowników i klientów. Ponieważ te e-maile pochodzą z twojego przejętego konta e-mail, wydają się być mniej podejrzane, a odbiorcy, czując się bezpiecznie, są bardziej skłonni klikać w złośliwe URL i pobierać zainfekowane pliki.

Jeśli w sieci znajduje się połączenie, Emotet rozprzestrzenia się, używając listy popularnych haseł, zgadując się na inne połączone systemy w ataku brute-force. Jeśli hasło do kluczowego serwera kadr jest po prostu "password", to zapewne Emotet je odkryje.

Badacze początkowo sądzili, że Emotet rozprzestrzenia się również przy użyciu luk EternalBlue/DoublePulsar, które były odpowiedzialne za ataki WannaCry i NotPetya. Teraz wiemy, że tak nie jest. To, co doprowadziło badaczy do tego wniosku, to fakt, że TrickBot, trojan często rozprzestrzeniany przez Emotet, wykorzystuje exploit EternalBlue do rozprzestrzeniania się w danej sieci. To TrickBot, a nie Emotet, wykorzystuje luki w zabezpieczeniach EternalBlue/DoublePulsar.

Jaka jest historia Emotet?

Po raz pierwszy zidentyfikowany w 2014 roku, Emotet nadal infekuje systemy i szkodzi użytkownikom do dziś, dlatego wciąż o nim mówimy, w przeciwieństwie do innych trendów z 2014 roku (Ice Bucket Challenge, ktoś pamięta?).

Pierwsza wersja Emotet została stworzona do kradzieży danych bankowych przez przechwytywanie ruchu internetowego. Krótko potem wykryto nową wersję oprogramowania. Ta wersja, nazwana Emotet wersja dwa, była wyposażona w kilka modułów, w tym system transferu pieniędzy, moduł malspam i moduł bankowy, który atakował banki niemieckie i austriackie.

"Aktualne wersje trojana Emotet mają możliwość instalowania innego złośliwego oprogramowania na zainfekowanych komputerach. To złośliwe oprogramowanie może obejmować inne trojany bankowe lub usługi dostarczania złośliwego spamu".

W styczniu 2015 roku na scenie pojawiła się nowa wersja Emoteta. Wersja trzecia zawierała ukryte modyfikacje mające na celu utrzymanie złośliwego oprogramowania pod radarem i dodała nowe szwajcarskie cele bankowe.

W 2018 roku nowe wersje trojana Emotet mają możliwość instalowania innego złośliwego oprogramowania na zainfekowanych komputerach. To złośliwe oprogramowanie może obejmować inne trojany i oprogramowanie ransomware. Przykładowo, według Gizmodo, atak Emotet na Lake City na Florydzie w lipcu 2019 r. kosztował miasto 460 000 USD w wypłatach za oprogramowanie ransomware. Analiza ataku wykazała, że Emotet służył jedynie jako początkowy wektor infekcji. Po zainfekowaniu Emotet pobrał innego trojana bankowego znanego jako TrickBot i oprogramowanie ransomware Ryuk.

Po względnej ciszy przez większą część 2019 roku, Emotet powrócił w silnej formie. We wrześniu 2019 r. Malwarebytes Labs poinformowało o kampanii spamowej opartej na botnecie, skierowanej do ofiar w języku niemieckim, polskim, włoskim i angielskim, ze sprytnie sformułowanymi tematami, takimi jak "Powiadomienie o przekazie płatności" i "Zaległa faktura". Otwarcie zainfekowanego dokumentu Microsoft Word inicjuje makro, które z kolei pobiera Emotet z zainfekowanych witryn WordPress.

Kogo atakuje Emotet?

Każdy jest celem dla Emotet. Do tej pory Emotet uderzył w osoby fizyczne, firmy i podmioty rządowe w Stanach Zjednoczonych i Europie, kradnąc loginy bankowe, dane finansowe, a nawet portfele Bitcoin.

Jednym z godnych uwagi ataków Emotet na miasto Allentown w Pensylwanii było potrzebowanie bezpośredniej pomocy zespołu reagowania na incydenty Microsoftu do posprzątania, co rzekomo kosztowało miasto ponad 1 milion dolarów.

Teraz, gdy Emotet jest wykorzystywany do pobierania i dostarczania innych trojanów bankowych, lista celów jest potencjalnie jeszcze szersza. Wczesne wersje Emoteta były wykorzystywane do atakowania klientów bankowych w Niemczech. Późniejsze wersje Emoteta atakowały organizacje w Kanadzie, Wielkiej Brytanii i Stanach Zjednoczonych.

"Jeden z godnych uwagi ataków Emotet na miasto Allentown w stanie Pensylwania wymagał bezpośredniej pomocy zespołu reagowania na incydenty Microsoftu w celu oczyszczenia i podobno kosztował miasto ponad 1 milion dolarów".

Jak mogę się chronić przed Emotet?

Już teraz robisz pierwszy krok w kierunku ochrony siebie i swoich użytkowników przed Emotet, ucząc się jak działa Emotet. Oto kilka dodatkowych kroków, które możesz podjąć:

Utrzymuj swój komputer/punkty końcowe na bieżąco z najnowszymi poprawkami dla Microsoft Windows. TrickBot jest często dostarczany jako drugorzędny ładunek Emotet, a wiemy, że TrickBot polega na luce EternalBlue w Windows, więc załatw tę lukę, zanim cyberprzestępcy będą mogli z niej skorzystać.
Nie pobieraj podejrzanych załączników ani nie klikaj linków, które wyglądają na niepewne. Emotet nie będzie mógł zdobyć przyczółka w twoim systemie lub sieci, jeśli unikniesz tych podejrzanych e-maili. Poświęć czas na edukację użytkowników o tym, jak rozpoznać malspam.
Kształć siebie i swoich użytkowników w zakresie tworzenia silnego hasła. Przy okazji, zacznij używać uwierzytelniania dwuskładnikowego.
Możesz chronić siebie i swoich użytkowników przed Emotet dzięki solidnemu programowi cyberbezpieczeństwa, który obejmuje wielowarstwową ochronę. Produkty Malwarebytes dla firm i konsumentów premium wykrywają i blokują Emotet w czasie rzeczywistym.

Jak mogę usunąć Emotet?

Jeśli podejrzewasz, że już zostałeś zainfekowany przez Emotet, nie panikuj. Jeśli twój komputer jest podłączony do sieci - natychmiast go izoluj. Po izolacji przystąp do łatania i czyszczenia zainfekowanego systemu. Ale to nie koniec. Ze względu na sposób, w jaki Emotet rozprzestrzenia się w sieci, czysty komputer może zostać ponownie zainfekowany po ponownym podłączeniu do zainfekowanej sieci. Oczyść każdy komputer w sieci jeden po drugim. To żmudny proces, ale rozwiązania biznesowe Malwarebytes mogą to ułatwić, izolując i naprawiając zainfekowane punkty końcowe oraz oferując ochronę proaktywną przed przyszłymi infekcjami Emotet.

Jeśli wiedza to połowa sukcesu, zajrzyj do Malwarebytes Labs, aby dowiedzieć się jak Emotet uniknie wykrycia i jak działa kod Emotetu.