Emotet

Emotet — это разновидность вредоносного ПО, изначально разработанного как банковский троян, нацеленный на кражу финансовых данных, но оно эволюционировало и стало серьезной угрозой для пользователей по всему миру.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Давайте поговорим о вредоносной программе Emotet

Возможно, вы слышали о Emotet в новостях. Что это такое: древний египетский царь или любимая эмо-группа вашей сестры-подростка? К сожалению, это не так.

Банковский Троян Emotet был впервые выявлен исследователями безопасности в 2014 году. Изначально Emotet был разработан как банковская вредоносная программа, пытающаяся незаметно проникнуть на ваш компьютер для кражи конфиденциальной информации. Поздние версии программы включали функции спам-рассылки и доставки других вредоносных программ, включая другие банковские трояны.

Emotet использует функциональные возможности, которые помогают программному обеспечению избегать обнаружения некоторыми анти-вредоносными продуктами. Emotet использует способности, схожие с червями, чтобы распространяться на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функциональность привела к тому, что Министерство внутренней безопасности заключило, что Emotet является одним из самых затратных и разрушительных вредоносных программ, воздействующих на государственные и частные секторы, частных лиц и организации, и обходится в более чем 1 миллион долларов за случай очистки.

значок щита

Продукты для кибербезопасности Emotet

Для бизнеса

Malwarebytes Endpoint Detection and Response
Malwarebytes Endpoint Protection
Malwarebytes Incident Response

Что такое Emotet?

Emotet — это троян, который распространяется в основном через спам-рассылки (malspam). Инфекция может поступать через вредоносный скрипт, документ с макросами или вредоносную ссылку. Письма Emotet могут содержать знакомые логотипы, чтобы казаться легитимными. Emotet может попытаться убедить пользователей щелкнуть по вредоносным файлам, используя заманчивые заголовки, такие как «Ваша накладная», «Платежные реквизиты» или, возможно, предстоящая доставка от известных почтовых компаний.

Emotet прошёл несколько итераций. Ранние версии были вредоносным JavaScript-файлом. Поздние версии развились до использования документов с макросами для извлечения вирусной нагрузки с серверов управления и контроля, управляемых злоумышленниками. 

Emotet использует множество уловок, чтобы избежать обнаружения и анализа. В частности, Emotet знает, если он работает внутри виртуальной машины (VM) и будет бездействовать, если обнаружит среду песочницы, которую используют исследователи кибербезопасности для наблюдения за вредоносным ПО в безопасных условиях.

Emotet также использует серверы управления и контроля для получения обновлений. Это работает так же, как обновления операционной системы на вашем ПК, и может происходить незаметно и без признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или использовать его как хранилище для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, и адреса электронной почты.

Новости Emotet

Как распространяется Emotet?

Основной метод распространения Emotet — через malspam. Emotet перехватывает ваш список контактов и отправляет себя вашим друзьям, членам семьи, коллегам и клиентам. Поскольку эти письма приходят с вашего взломанного аккаунта, они выглядят менее подозрительными, и получатели, считая их безопасными, более склонны кликнуть на подозрительные URL и загружать зараженные файлы.

Если есть подключенная сеть, Emotet использует список общих паролей для распространения, подбирая пароли на другие подключенные системы в ходе атаки грубой силой. Если пароль к важнейшему серверу кадрового отдела всего лишь «пароль», то вероятно, Emotet найдёт туда дорогу.

Изначально исследователи думали, что Emotet также распространяется, используя уязвимости EternalBlue/DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. Что привело исследователей к такому выводу, так это факт, что TrickBot, троян, часто распространяемый через Emotet, использует эксплойт EternalBlue эксплойт для распространения по сети. Именно TrickBot, а не Emotet, воспользовался уязвимостями EternalBlue/DoublePulsar.

Какова история Emotet?

Впервые выявленный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям до сих пор, что объясняет, почему мы всё еще говорим о нём, в отличие от других трендов 2014 года (Кто-нибудь еще помнит вызов с ледяным ведром?).

Версия один Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после чего была выявлена новая версия программы. Эта версия, получившая название Emotet версия два, включала несколько модулей, включая систему перевода денег, модуль malspam и банковский модуль, нацеленный на немецкие и австрийские банки.

"Текущие версии трояна Emotet включают возможность установки другого вредоносного ПО на зараженные машины. Это ПО может включать и другие банковские трояны или услуги доставки malspam."

К январю 2015 года появилась новая версия Emotet. Третья версия содержала изменения, позволяющие трояну оставаться незамеченным, и добавила новые цели среди швейцарских банков.

Перенесёмся в 2018 год — новые версии трояна Emotet включают возможность установки другого вредоносного ПО на зараженные машины. Это ПО может включать и другие трояны и программы-вымогатели. Например, атака Emotet в июле 2019 года на Лейк Сити, Флорида, стоила городу 460,000 долларов в выплатах по вымогательству, согласно Gizmodo. Анализ инцидента показал, что Emotet служил только в качестве начального носителя инфекции. После заражения, Emotet скачивал другой банковский троян известный как TrickBot и программу-вымогатель Ryuk.

После того как в течение большей части 2019 года Emotet относительно затих, в сентябре того же года он вернулся с новой силой. Malwarebytes Labs сообщали о спам-кампании, управляемой ботнетом, нацеленной на немецких, польских, итальянских и английских жертв с хитро придуманными темами писем, такими как "Оплата по счету" и "Просроченный счёт". Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet с взломанных сайтов на WordPress.

На кого нацелен Emotet?

Все являются целью для Emotet. На сегодняшний день, Emotet поразил частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткоин-кошельки.

Одна из заметных атак Emotet на городской совет Аллентаун, Пенсильвания, потребовала непосредственной помощи от команды реагирующей на инциденты компании Microsoft и обошлась городу в более чем 1 миллион долларов.

Теперь, когда Emotet используется для загрузки и доставки других банковских троянов, список целей, возможно, стал еще шире. Ранние версии Emotet использовались для атак на банковских клиентов в Германии. Поздние версии Emotet нацеливались на организации в Канаде, Великобритании и Соединенных Штатах.

"Одна из заметных атак Emotet на городской совет Аллентаун, Пенсильвания, потребовала непосредственной помощи от команды реагирующей на инциденты компании Microsoft и обошлась городу в более чем 1 миллион долларов."

Как я могу защитить себя от Emotet?

Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, изучая как работает Emotet. Вот несколько дополнительных шагов, которые вы можете предпринять:

  1. Следите за тем, чтобы ваш компьютер или конечные точки системы были обновлены последними патчами для Microsoft Windows. TrickBot часто доставляется как вторичный полезный нагрузка Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue, чтобы выполнять свои грязные дела, так что исправьте эту уязвимость, прежде чем киберпреступники смогут воспользоваться ею.
  2. Не загружайте подозрительные вложения и не кликайте на сомнительные ссылки. Emotet не сможет захватить первоначальную точку опоры в вашей системе или сети, если вы избегаете подозрительных писем. Потратьте время, чтобы научить пользователей распознаванию malspam.
  3. Обучите себя и своих пользователей созданию надежного пароля. Пока вы этим занимаетесь, начните использовать двухфакторную аутентификацию.
  4. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, включающей многослойную защиту. Продукты Malwarebytes для бизнеса и премиум-потребителей обнаруживают и блокируют Emotet в режиме реального времени.  

Как я могу удалить Emotet?

Если вы подозреваете, что уже заражены Emotet, не паникуйте. Если ваш компьютер подключен к сети, изолируйте его немедленно. После изоляции, приступите к обновлению и очистке зараженной системы. Но на этом ваша работа не заканчивается. Из-за того, как Emotet распространяется по вашей сети, чистый компьютер может быть повторно заражен при повторном подключении к зараженной сети. Очистите каждый компьютер в вашей сети по одному. Это утомительный процесс, но решения для бизнеса Malwarebytes могут облегчить его, изолируя и очищая зараженные конечные точки и предлагая проактивную защиту от будущих инфекций Emotet.

Если знание — это половина сражения, загляните в Malwarebytes Labs, где вы можете узнать больше о способах избегания обнаружения Emotet и о том, как работает его код.