Давайте поговорим о вредоносных программах Emotet
Возможно, вы уже слышали об Эмотете в новостях. Что это: Древнеегипетский царь, любимая эмо-группа вашей сестры-подростка? Боимся, что нет.
Банковский троянец Emotet был впервые обнаружен исследователями безопасности в 2014 году. Изначально Emotet был разработан как банковская вредоносная программа, которая пыталась пробраться на ваш компьютер и украсть конфиденциальную и частную информацию. В более поздних версиях программы были добавлены сервисы рассылки спама и доставки вредоносного ПО, в том числе и других банковских троянцев.
Emotet использует функциональные возможности, которые помогают программе избегать обнаружения некоторыми антивирусными продуктами. Emotet использует червеподобные возможности для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функциональность привела Министерство внутренних дел США Security к выводу, что Emotet является одним из самых дорогостоящих и разрушительных вредоносных программ, поражающих правительственный и частный секторы, отдельных людей и организации, и требующих затрат на ликвидацию последствий инцидента в размере до 1 млн долларов.
Продукты для кибербезопасности Emotet
Для бизнеса
Malwarebytes Обнаружение и реагирование на конечные точки
Malwarebytes Защита конечных точек
Malwarebytes Incident Response
Что такое Эмотет?
Emotet - это троянец, который распространяется в основном через спам(malspam). Заражение может происходить через вредоносный скрипт, файлы документов с макросами или вредоносную ссылку. Письма Emotet могут содержать знакомый брендинг, созданный для того, чтобы выглядеть как легитимное письмо. Emotet может пытаться убедить пользователя нажать на вредоносный файл, используя заманчивые формулировки о "Вашем счете", "Платежных реквизитах" или, возможно, о предстоящей отправке от известных посылочных компаний.
Emotet пережил несколько итераций. Ранние версии представляли собой вредоносный JavaScript-файл. Более поздние версии стали использовать документы с поддержкой макросов для получения полезной нагрузки вируса с командно-контрольных (C&C) серверов, управляемых злоумышленниками.
Emotet использует ряд уловок, чтобы попытаться предотвратить обнаружение и анализ. В частности, Emotet знает, запущен ли он внутри виртуальной машины (VM), и замирает, если обнаруживает среду "песочницы" - инструмент, который исследователи кибербезопасности используют для наблюдения за вредоносным ПО в безопасном, контролируемом пространстве.
Emotet также использует C&C-серверы для получения обновлений. Это происходит так же, как и обновление операционной системы на вашем компьютере, и может происходить незаметно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, инсталлировать дополнительные вредоносные программы, такие как другие банковские троянцы, или выступать в качестве "свалки" для украденной информации, такой как финансовые реквизиты, имена пользователей и пароли, адреса электронной почты.
Новости Эмотет
- Эмотет вернулся и не теряет времени даром
- Emotet распространяется через вредоносные пакеты Windows App Installer.
- TrickBot помогает Эмотету воскреснуть из мертвых
- Уборка после Эмотета: досье правоохранительных органов
- Анализ вредоносного ПО: декодирование Emotet, часть 2
- Анализ вредоносного ПО: декодирование Emotet, часть 1
Как распространяется Эмотет?
Основным способом распространения Emotet является вредоносный спам. Emotet вылавливает ваш список контактов и рассылает себя вашим друзьям, родственникам, коллегам и клиентам. Поскольку эти письма приходят с вашего взломанного почтового ящика, они меньше похожи на спам, и получатели, чувствуя себя в безопасности, охотнее переходят по нежелательным URL-адресам и загружают зараженные файлы.
При наличии подключенной сети Emotet распространяется с помощью списка общих паролей, угадывая путь к другим подключенным системам методом перебора. Если пароль к важному серверу отдела кадров - просто "password", то, скорее всего, Emotet найдет туда дорогу.
Изначально исследователи полагали, что Emotet также распространяется с помощью уязвимостей EternalBlue/DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для своего распространения по сети. Именно TrickBot, а не Emotet, воспользовался уязвимостями EternalBlue/DoublePulsar.
Какова история Эмотета?
Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы все еще говорим о нем, в отличие от других трендов 2014 года (Ice Bucket Challenge, кто-нибудь?).
Первая версия Emotet предназначалась для кражи данных банковских счетов путем перехвата интернет-трафика. Через некоторое время после этого была обнаружена новая версия программы. Эта версия, получившая название Emotet version two, поставлялась в комплекте с несколькими модулями, включая систему денежных переводов, модуль для рассылки вредоносного спама и банковский модуль, нацеленный на немецкие и австрийские банки.
К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала стелс-модификации, призванные сделать вредоносную программу незаметной, и добавляла новые цели для швейцарских банков.
В 2018 году новые версии троянца Emotet получили возможность устанавливать на зараженные компьютеры другие вредоносные программы. Среди этих вредоносных программ могут быть другие троянцы и программы-вымогатели. По данным Gizmodo, атака Emotet на город Лейк-Сити (штат Флорида) в июле 2019 года обошлась городу в 460 000 долларов США в виде выплат за выкуп. Анализ этой атаки показал, что Emotet служил лишь первоначальным вектором заражения. После заражения Emotet загружал другого банковского троянца, известного как TrickBot, и программу-вымогатель Ryuk.
После относительного затишья в течение большей части 2019 года Emotet вернулся с новыми силами. В сентябре 2019 года Malwarebytes Labs сообщил о спам-кампании, управляемой ботнетом и направленной на немецких, польских, итальянских и английских жертв, с хитро сформулированными темами, такими как "Авизо об оплате" и "Просроченный счет". Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.
На кого нацелен Эмотет?
Каждый человек является мишенью для Emotet. На сегодняшний день Emotet поразил частных лиц, компании и правительственные организации по всей территории США и Европы, похищая банковские логины, финансовые данные и даже кошельки Bitcoin.
Одна из примечательных атак Emotet на город Аллентаун, штат Пенсильвания, потребовала непосредственной помощи команды реагирования на инциденты Microsoft и, как сообщается, обошлась городу в сумму до 1 млн долларов.
Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально становится еще шире. Ранние версии Emotet использовались для атак на банковских клиентов в Германии. Более поздние версии Emotet атаковали организации в Канаде, Великобритании и США.
Как защитить себя от Эмотета?
Вы уже сделали первый шаг к защите себя и своих пользователей от Emotet, узнав , как работает Emotet. Вот несколько дополнительных шагов, которые вы можете предпринять:
- Обновляйте свои компьютеры/конечные точки последними исправлениями для Microsoft Windows. TrickBot часто поставляется в качестве вторичной полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей грязной работы, поэтому исправьте эту уязвимость до того, как злоумышленники смогут воспользоваться ею.
- Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать подозрительных писем. Уделите время обучению своих пользователей тому , как распознать вредоносный спам.
- Обучите себя и своих пользователей созданию надежных паролей. Начните использовать двухфакторную аутентификацию.
- Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, включающей многоуровневую защиту. Malwarebytes бизнес и потребительские продукты премиум-класса обнаруживают и блокируют Emotet в режиме реального времени.
Как удалить Emotet?
Если вы подозреваете, что уже заразились Emotet, не пугайтесь. Если ваш компьютер подключен к сети, немедленно изолируйте его. После изоляции приступайте к исправлению и очистке зараженной системы. Но это еще не все. Из-за способа распространения Emotet по сети чистый компьютер может быть повторно заражен, если его снова подключить к зараженной сети. Очищайте каждый компьютер в сети по очереди. Это утомительный процесс, но решения для бизнесаMalwarebytes могут облегчить его, изолируя и устраняя зараженные конечные точки и обеспечивая проактивную защиту от будущих заражений Emotet.
Если знание - половина успеха, перейдите по ссылке Malwarebytes Labs и вы сможете узнать больше о том , как Emotet уклоняется от обнаружения и как работает код Emotet.