Porozmawiajmy o złośliwym oprogramowaniu Emotet
Być może słyszałeś o Emotet w wiadomościach. Czym jest: starożytnym królem Egiptu, ulubionym emo zespołem twojej siostry? Niestety, nie.
Bankowy trojan Emotet został po raz pierwszy zidentyfikowany przez badaczy bezpieczeństwa w 2014 roku. Emotet początkowo zaprojektowano jako malware bankowe, które próbowało podkraść się na twój komputer i ukraść poufne dane. W późniejszych wersjach dodano funkcję spamu i dostarczania innego złośliwego oprogramowania, w tym innych trojanów bankowych.
Emotet używa funkcji, które pomagają oprogramowaniu unikać wykrycia przez niektóre produkty antywirusowe. Emotet wykorzystuje zdolności przypominające robaka do rozprzestrzeniania się na inne podłączone komputery. Pomaga to w dystrybucji złośliwego oprogramowania. Ta funkcjonalność skłoniła Departament Bezpieczeństwa Wewnętrznego do wniosku, że Emotet jest jednym z najkosztowniejszych i najbardziej destrukcyjnych złośliwych programów, wpływającym na sektor rządowy i prywatny, jednostki i organizacje oraz kosztującym ponad 1 milion dolarów za incydent związany z czyszczeniem.
Produkty dla ochrony przed Emotet
Dla biznesu
Malwarebytes Wykrywanie i reagowanie w punktach końcowych
Malwarebytes Ochrona punktów końcowych
Malwarebytes Incident Response
Czym jest Emotet?
Emotet to trojan, który głównie rozprzestrzenia się przez spamowe emaile (malspam). Infekcja może przyjść za pośrednictwem złośliwego skryptu, plików dokumentów z włączonymi makrami lub złośliwych linków. Emotet może wymagać kliknięcia złośliwego pliku używając kuszącego języka na temat "Twoja faktura", "Szczegóły płatności" lub możliwej dostawy od znanych firm kurierskich.
Emotet przeszedł kilka iteracji. Wczesne wersje pojawiały się jako złośliwe pliki JavaScript. Późniejsze wersje ewoluowały, wykorzystując dokumenty z włączonymi makrami do pobierania ładunku wirusa z serwerów C&C prowadzonych przez atakujących.
Emotet używa różnych sztuczek, aby uniknąć wykrycia i analizy. Co ważne, Emotet wie, czy działa w wirtualnej maszynie (VM) i pozostanie uśpiony, jeśli wykryje środowisko sandbox, które jest narzędziem używanym przez badaczy bezpieczeństwa do obserwowania złośliwego oprogramowania w bezpiecznej, kontrolowanej przestrzeni.
Emotet wykorzystuje również serwery C&C do otrzymywania aktualizacji. Działa to w taki sam sposób, jak aktualizacje systemu operacyjnego na komputerze i może odbywać się płynnie i bez żadnych zewnętrznych oznak. Pozwala to atakującym instalować zaktualizowane wersje oprogramowania, instalować dodatkowe złośliwe oprogramowanie, takie jak inne trojany bankowe, lub działać jako wysypisko skradzionych informacji, takich jak dane uwierzytelniające, nazwy użytkowników i hasła oraz adresy e-mail.
Nowości Emotet
- Emotet powrócił i nie marnuje czasu
- Emotet rozprzestrzenia się przez złośliwe pakiety instalacyjne aplikacji Windows
- TrickBot pomaga Emotetowi powrócić z martwych
- Sprzątanie po Emotet: plik z działania organów ścigania
- Analiza złośliwego oprogramowania: dekodowanie Emotet, część 2
- Analiza złośliwego oprogramowania: dekodowanie Emotet, część 1
Jak rozprzestrzenia się Emotet?
Główna metoda dystrybucji Emotet to malspam. Emotet przeszukuje twoją listę kontaktów i wysyła się do twoich przyjaciół, rodziny, współpracowników i klientów. Ponieważ te e-maile pochodzą z twojego przejętego konta e-mail, wydają się być mniej podejrzane, a odbiorcy, czując się bezpiecznie, są bardziej skłonni klikać w złośliwe URL i pobierać zainfekowane pliki.
Jeśli w sieci znajduje się połączenie, Emotet rozprzestrzenia się, używając listy popularnych haseł, zgadując się na inne połączone systemy w ataku brute-force. Jeśli hasło do kluczowego serwera kadr jest po prostu "password", to zapewne Emotet je odkryje.
Początkowo badacze uważali, że Emotet również rozprzestrzenia się, wykorzystując luki EternalBlue/DoublePulsar, które były odpowiedzialne za ataki WannaCry i NotPetya. Wiemy teraz, że tak nie było. To, co skłoniło badaczy do tego wniosku, to fakt, że TrickBot, trojan często rozpowszechniany przez Emotet, wykorzystuje exploit EternalBlue, aby rozprzestrzeniać się w sieci. To TrickBot, a nie Emotet, wykorzystuje luki EternalBlue/DoublePulsar.
Jaka jest historia Emotet?
Po raz pierwszy zidentyfikowany w 2014 roku, Emotet nadal infekuje systemy i szkodzi użytkownikom do dziś, dlatego wciąż o nim mówimy, w przeciwieństwie do innych trendów z 2014 roku (Ice Bucket Challenge, ktoś pamięta?).
Pierwsza wersja Emotet została stworzona do kradzieży danych bankowych przez przechwytywanie ruchu internetowego. Krótko potem wykryto nową wersję oprogramowania. Ta wersja, nazwana Emotet wersja dwa, była wyposażona w kilka modułów, w tym system transferu pieniędzy, moduł malspam i moduł bankowy, który atakował banki niemieckie i austriackie.
W styczniu 2015 roku na scenie pojawiła się nowa wersja Emoteta. Wersja trzecia zawierała ukryte modyfikacje mające na celu utrzymanie złośliwego oprogramowania pod radarem i dodała nowe szwajcarskie cele bankowe.
Na początku 2015 roku pojawiła się nowa wersja Emotet. Wersja trzecia zawierała modyfikacje zwiększające niewykrywalność i dodawała nowe cele w postaci szwajcarskich banków.
Po względnej ciszy przez większą część 2019 r., Emotet powrócił w silnej formie. We wrześniu 2019 r. witryna Malwarebytes Labs poinformowała o kampanii spamowej opartej na botnecie, skierowanej do ofiar z Niemiec, Polski, Włoch i Anglii, ze sprytnie sformułowanymi tematami, takimi jak "Wezwanie do zapłaty" i "Zaległa faktura". Otwarcie zainfekowanego dokumentu Microsoft Word inicjuje makro, które z kolei pobiera Emotet z zainfekowanych witryn WordPress.
Kogo atakuje Emotet?
Emotet może być celem każdego. Do tej pory Emotet atakował osoby indywidualne, firmy i jednostki rządowe w Stanach Zjednoczonych i Europie, kradnąc loginy do bankowości, dane finansowe, a nawet portfele Bitcoin.
Jednym z godnych uwagi ataków Emotet na miasto Allentown w Pensylwanii było potrzebowanie bezpośredniej pomocy zespołu reagowania na incydenty Microsoftu do posprzątania, co rzekomo kosztowało miasto ponad 1 milion dolarów.
Teraz, gdy Emotet jest wykorzystywany do pobierania i dostarczania innych trojanów bankowych, lista celów jest potencjalnie jeszcze szersza. Wczesne wersje Emoteta były wykorzystywane do atakowania klientów bankowych w Niemczech. Późniejsze wersje Emoteta atakowały organizacje w Kanadzie, Wielkiej Brytanii i Stanach Zjednoczonych.
Jak mogę się chronić przed Emotet?
Już teraz robisz pierwszy krok w kierunku ochrony siebie i swoich użytkowników przed Emotet, ucząc się jak działa Emotet. Oto kilka dodatkowych kroków, które możesz podjąć:
- Utrzymuj swój komputer/punkty końcowe na bieżąco z najnowszymi poprawkami dla Microsoft Windows. TrickBot jest często dostarczany jako drugorzędny ładunek Emotet, a wiemy, że TrickBot polega na luce EternalBlue w Windows, więc załatw tę lukę, zanim cyberprzestępcy będą mogli z niej skorzystać.
- Nie pobieraj podejrzanych załączników ani nie klikaj linków, które wyglądają na niepewne. Emotet nie będzie mógł zdobyć przyczółka w twoim systemie lub sieci, jeśli unikniesz tych podejrzanych e-maili. Poświęć czas na edukację użytkowników o tym, jak rozpoznać malspam.
- Kształć siebie i swoich użytkowników w zakresie tworzenia silnego hasła. Przy okazji, zacznij używać uwierzytelniania dwuskładnikowego.
- Możesz chronić siebie i swoich użytkowników przed Emotet dzięki solidnemu programowi cyberbezpieczeństwa, który obejmuje wielowarstwową ochronę. Malwarebytes produkty biznesowe i konsumenckie premium wykrywają i blokują Emotet w czasie rzeczywistym.
Jak mogę usunąć Emotet?
Jeśli podejrzewasz, że już zostałeś zainfekowany przez Emotet, nie panikuj. Jeśli twój komputer jest podłączony do sieci - natychmiast go izoluj. Po izolacji przystąp do łatania i czyszczenia zainfekowanego systemu. Ale to nie koniec. Ze względu na sposób, w jaki Emotet rozprzestrzenia się w sieci, czysty komputer może zostać ponownie zainfekowany po ponownym podłączeniu do zainfekowanej sieci. Oczyść każdy komputer w sieci jeden po drugim. To żmudny proces, ale rozwiązania biznesowe Malwarebytes mogą to ułatwić, izolując i naprawiając zainfekowane punkty końcowe oraz oferując ochronę proaktywną przed przyszłymi infekcjami Emotet.
Jeśli wiedza to połowa sukcesu, zajrzyj do Malwarebytes Labs, aby dowiedzieć się jak Emotet uniknie wykrycia i jak działa kod Emotetu.