Emotet

Emotet to rodzaj złośliwego oprogramowania pierwotnie zaprojektowanego jako trojan bankowy mający na celu kradzież danych finansowych, ale ewoluował i stał się poważnym zagrożeniem dla użytkowników na całym świecie.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

Porozmawiajmy o złośliwym oprogramowaniu Emotet

Być może słyszałeś o Emotet w wiadomościach. Co to jest: Starożytny egipski król, ulubiony zespół emo twojej nastoletniej siostry? Obawiamy się, że nie.

Trojan bankowy Emotet został po raz pierwszy zidentyfikowany przez badaczy bezpieczeństwa w 2014 roku. Emotet został pierwotnie zaprojektowany jako złośliwe oprogramowanie bankowe, które próbowało wkraść się do komputera użytkownika i wykraść poufne i prywatne informacje. W późniejszych wersjach oprogramowania dodano usługi spamowania i dostarczania złośliwego oprogramowania - w tym inne trojany bankowe.

Emotet wykorzystuje funkcje, które pomagają mu uniknąć wykrycia przez niektóre programy antywirusowe. Emotet wykorzystuje funkcje podobne do robaków, aby pomóc w rozprzestrzenianiu się na inne podłączone komputery. Pomaga to w dystrybucji złośliwego oprogramowania. Funkcjonalność ta doprowadziła Departament Spraw Wewnętrznych Security do wniosku, że Emotet jest jednym z najbardziej kosztownych i destrukcyjnych złośliwych programów, wpływającym na sektory rządowy i prywatny, osoby prywatne i organizacje, a jego usunięcie kosztuje ponad 1 milion dolarów za incydent.

Czym jest Emotet?

Emotet to trojan, który rozprzestrzenia się głównie za pośrednictwem wiadomości spamowych(malspam). Infekcja może nastąpić za pośrednictwem złośliwego skryptu, plików dokumentów z włączonymi makrami lub złośliwego łącza. E-maile Emotet mogą zawierać znajomy branding zaprojektowany tak, aby wyglądał jak legalna wiadomość e-mail. Emotet może próbować przekonać użytkowników do kliknięcia złośliwych plików, używając kuszącego języka o "Twojej fakturze", "Szczegółach płatności" lub prawdopodobnie nadchodzącej przesyłce od znanych firm kurierskich.

Emotet przeszedł kilka iteracji. Wczesne wersje pojawiły się jako złośliwy plik JavaScript. Późniejsze wersje ewoluowały w celu wykorzystania dokumentów z obsługą makr do pobierania ładunku wirusa z serwerów dowodzenia i kontroli (C&C) uruchomionych przez atakujących. 

Emotet wykorzystuje szereg sztuczek, aby zapobiec wykryciu i analizie. W szczególności Emotet wie, czy działa na maszynie wirtualnej (VM) i pozostanie uśpiony, jeśli wykryje środowisko piaskownicy, które jest narzędziem używanym przez badaczy cyberbezpieczeństwa do obserwowania złośliwego oprogramowania w bezpiecznej, kontrolowanej przestrzeni.

Emotet wykorzystuje również serwery C&C do otrzymywania aktualizacji. Działa to w taki sam sposób, jak aktualizacje systemu operacyjnego na komputerze i może odbywać się płynnie i bez żadnych zewnętrznych oznak. Pozwala to atakującym instalować zaktualizowane wersje oprogramowania, instalować dodatkowe złośliwe oprogramowanie, takie jak inne trojany bankowe, lub działać jako wysypisko skradzionych informacji, takich jak dane uwierzytelniające, nazwy użytkowników i hasła oraz adresy e-mail.

Aktualności Emotet

Jak rozprzestrzenia się Emotet?

Główną metodą dystrybucji Emotet jest złośliwy spam. Emotet plądruje listę kontaktów użytkownika i rozsyła się do jego znajomych, rodziny, współpracowników i klientów. Ponieważ wiadomości te pochodzą z przejętego konta e-mail, wyglądają mniej jak spam, a odbiorcy, czując się bezpiecznie, są bardziej skłonni do klikania złośliwych adresów URL i pobierania zainfekowanych plików.

Jeśli obecna jest połączona sieć, Emotet rozprzestrzenia się przy użyciu listy popularnych haseł, odgadując swoją drogę do innych połączonych systemów w ataku siłowym. Jeśli hasło do najważniejszego serwera zasobów ludzkich to po prostu "password", to jest prawdopodobne, że Emotet tam trafi.

Badacze początkowo sądzili, że Emotet rozprzestrzenia się również przy użyciu luk EternalBlue/DoublePulsar, które były odpowiedzialne za ataki WannaCry i NotPetya. Teraz wiemy, że tak nie jest. To, co doprowadziło badaczy do tego wniosku, to fakt, że TrickBot, trojan często rozprzestrzeniany przez Emotet, wykorzystuje exploit EternalBlue do rozprzestrzeniania się w danej sieci. To TrickBot, a nie Emotet, wykorzystuje luki w zabezpieczeniach EternalBlue/DoublePulsar.

Jaka jest historia Emotet?

Po raz pierwszy zidentyfikowany w 2014 roku, Emotet nadal infekuje systemy i szkodzi użytkownikom do dziś, dlatego wciąż o nim mówimy, w przeciwieństwie do innych trendów z 2014 roku (Ice Bucket Challenge ktoś?).

Pierwsza wersja Emoteta została zaprojektowana do kradzieży danych kont bankowych poprzez przechwytywanie ruchu internetowego. Niedługo później wykryto nową wersję oprogramowania. Ta wersja, nazwana Emotet wersja druga, była dostarczana w pakiecie z kilkoma modułami, w tym systemem przelewów pieniężnych, modułem malspamowym i modułem bankowym, który był ukierunkowany na niemieckie i austriackie banki.

"Aktualne wersje trojana Emotet mają możliwość instalowania innego złośliwego oprogramowania na zainfekowanych komputerach. To złośliwe oprogramowanie może obejmować inne trojany bankowe lub usługi dostarczania złośliwego spamu".

W styczniu 2015 roku na scenie pojawiła się nowa wersja Emoteta. Wersja trzecia zawierała ukryte modyfikacje mające na celu utrzymanie złośliwego oprogramowania pod radarem i dodała nowe szwajcarskie cele bankowe.

W 2018 roku nowe wersje trojana Emotet mają możliwość instalowania innego złośliwego oprogramowania na zainfekowanych komputerach. To złośliwe oprogramowanie może obejmować inne trojany i oprogramowanie ransomware. Przykładowo, według Gizmodo, atak Emotet na Lake City na Florydzie w lipcu 2019 r. kosztował miasto 460 000 USD w wypłatach za oprogramowanie ransomware. Analiza ataku wykazała, że Emotet służył jedynie jako początkowy wektor infekcji. Po zainfekowaniu Emotet pobrał innego trojana bankowego znanego jako TrickBot i oprogramowanie ransomware Ryuk.

Po względnej ciszy przez większą część 2019 r., Emotet powrócił w silnej formie. We wrześniu 2019 r. witryna Malwarebytes Labs poinformowała o kampanii spamowej opartej na botnecie, skierowanej do ofiar z Niemiec, Polski, Włoch i Anglii, ze sprytnie sformułowanymi tematami, takimi jak "Wezwanie do zapłaty" i "Zaległa faktura". Otwarcie zainfekowanego dokumentu Microsoft Word inicjuje makro, które z kolei pobiera Emotet z zainfekowanych witryn WordPress.

Do kogo skierowany jest Emotet?

Każdy jest celem dla Emotet. Do tej pory Emotet uderzył w osoby fizyczne, firmy i podmioty rządowe w Stanach Zjednoczonych i Europie, kradnąc loginy bankowe, dane finansowe, a nawet portfele Bitcoin.

Jeden z godnych uwagi ataków Emotet na miasto Allentown w Pensylwanii wymagał bezpośredniej pomocy zespołu reagowania na incydenty Microsoftu i podobno kosztował miasto ponad 1 milion dolarów.

Teraz, gdy Emotet jest wykorzystywany do pobierania i dostarczania innych trojanów bankowych, lista celów jest potencjalnie jeszcze szersza. Wczesne wersje Emoteta były wykorzystywane do atakowania klientów bankowych w Niemczech. Późniejsze wersje Emoteta atakowały organizacje w Kanadzie, Wielkiej Brytanii i Stanach Zjednoczonych.

"Jeden z godnych uwagi ataków Emotet na miasto Allentown w stanie Pensylwania wymagał bezpośredniej pomocy zespołu reagowania na incydenty Microsoftu w celu oczyszczenia i podobno kosztował miasto ponad 1 milion dolarów".

Jak mogę chronić się przed Emotet?

Zrobiłeś już pierwszy krok w kierunku ochrony siebie i swoich użytkowników przed Emotet, dowiadując się, jak działa Emotet. Oto kilka dodatkowych kroków, które możesz podjąć:

  1. Aktualizuj swoje komputery/punkty końcowe najnowszymi łatkami dla Microsoft Windows. TrickBot jest często dostarczany jako dodatkowy ładunek Emotet, a wiemy, że TrickBot polega na luce Windows EternalBlue, aby wykonać swoją brudną robotę, więc załataj tę lukę, zanim cyberprzestępcy będą mogli z niej skorzystać.
  2. Nie pobieraj podejrzanych załączników ani nie klikaj podejrzanie wyglądających linków. Emotet nie może uzyskać początkowego przyczółka w systemie lub sieci, jeśli unikasz tych podejrzanych wiadomości e-mail. Poświęć czas na edukację użytkowników w zakresie wykrywania złośliwego spamu.
  3. Poinformuj siebie i swoich użytkowników o tworzeniu silnych haseł. Przy okazji zacznij korzystać z uwierzytelniania dwuskładnikowego.
  4. Możesz chronić siebie i swoich użytkowników przed Emotet dzięki solidnemu programowi cyberbezpieczeństwa, który obejmuje wielowarstwową ochronę. Malwarebytes produkty biznesowe i konsumenckie premium wykrywają i blokują Emotet w czasie rzeczywistym.  

Jak mogę usunąć Emotet?

Jeśli podejrzewasz, że zostałeś już zainfekowany przez Emotet, nie panikuj. Jeśli komputer jest podłączony do sieci - natychmiast go odizoluj. Po odizolowaniu przystąp do łatania i czyszczenia zainfekowanego systemu. Ale to jeszcze nie koniec. Ze względu na sposób, w jaki Emotet rozprzestrzenia się w sieci, czysty komputer może zostać ponownie zainfekowany po ponownym podłączeniu do zainfekowanej sieci. Wyczyść każdy komputer w sieci jeden po drugim. Jest to żmudny proces, ale rozwiązania biznesoweMalwarebytes mogą go ułatwić, izolując i naprawiając zainfekowane punkty końcowe oraz oferując proaktywną ochronę przed przyszłymi infekcjami Emotet.

Jeśli wiedza to połowa sukcesu, przejdź na stronę Malwarebytes Labs a dowiesz się więcej o tym, jak Emotet unika wykrycia i jak działa kod Emotet.