Emotet

Emotet — это разновидность вредоносного ПО, изначально разработанного как банковский троян, нацеленный на кражу финансовых данных, но оно эволюционировало и стало серьезной угрозой для пользователей по всему миру.

СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Давайте поговорим о вредоносной программе Emotet

Возможно, вы слышали о Emotet в новостях. Что это такое: древний египетский царь или любимая эмо-группа вашей сестры-подростка? К сожалению, это не так.

Банковский троянец Emotet был впервые обнаружен исследователями безопасности в 2014 году. Изначально Emotet был разработан как банковская вредоносная программа, которая пыталась пробраться на ваш компьютер и украсть конфиденциальную и частную информацию. В более поздних версиях программы были добавлены сервисы рассылки спама и доставки вредоносного ПО, в том числе и других банковских троянцев.

Emotet использует функциональные возможности, которые помогают программному обеспечению избегать обнаружения некоторыми анти-вредоносными продуктами. Emotet использует способности, схожие с червями, чтобы распространяться на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функциональность привела к тому, что Министерство внутренней безопасности заключило, что Emotet является одним из самых затратных и разрушительных вредоносных программ, воздействующих на государственные и частные секторы, частных лиц и организации, и обходится в более чем 1 миллион долларов за случай очистки.

Продукты для кибербезопасности Emotet

Для бизнеса

Обнаружение и реагирование на конечные точки сMalwarebytes
Защита конечных точек от Malwarebytes

Что такое Emotet?

Emotet - это троянец, который распространяется в основном через спам (malspam). Заражение может происходить через вредоносный скрипт, файлы документов с макросами или вредоносную ссылку. Письма Emotet могут содержать знакомый брендинг, созданный для того, чтобы выглядеть как легитимное письмо. Emotet может пытаться убедить пользователя нажать на вредоносный файл, используя заманчивые формулировки о "Вашем счете", "Платежных реквизитах" или, возможно, о предстоящей отправке от известных посылочных компаний.

Emotet пережил несколько итераций. Ранние версии представляли собой вредоносный JavaScript-файл. Более поздние версии стали использовать документы с поддержкой макросов для получения полезной нагрузки вируса с командно-контрольных (C&C) серверов, управляемых злоумышленниками.

Emotet использует множество уловок, чтобы избежать обнаружения и анализа. В частности, Emotet знает, если он работает внутри виртуальной машины (VM) и будет бездействовать, если обнаружит среду песочницы, которую используют исследователи кибербезопасности для наблюдения за вредоносным ПО в безопасных условиях.

Emotet также использует серверы управления и контроля для получения обновлений. Это работает так же, как обновления операционной системы на вашем ПК, и может происходить незаметно и без признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или использовать его как хранилище для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, и адреса электронной почты.

Новости Emotet

ℹ️ Emotet теперь распространяется напрямую через malspam-документы. pic.twitter.com/pqYwSdIm82
— ThreatDown (@Threat_Down) Ноябрь 16, 2021

Как распространяется Emotet?

Основной метод распространения Emotet — через malspam. Emotet перехватывает ваш список контактов и отправляет себя вашим друзьям, членам семьи, коллегам и клиентам. Поскольку эти письма приходят с вашего взломанного аккаунта, они выглядят менее подозрительными, и получатели, считая их безопасными, более склонны кликнуть на подозрительные URL и загружать зараженные файлы.

Если есть подключенная сеть, Emotet использует список общих паролей для распространения, подбирая пароли на другие подключенные системы в ходе атаки грубой силой. Если пароль к важнейшему серверу кадрового отдела всего лишь «пароль», то вероятно, Emotet найдёт туда дорогу.

Изначально исследователи полагали, что Emotet также распространяется с помощью уязвимостей EternalBlue/DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для своего распространения по сети. Именно TrickBot, а не Emotet, воспользовался уязвимостью EternalBlue/DoublePulsar.

Какова история Emotet?

Впервые выявленный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям до сих пор, что объясняет, почему мы всё еще говорим о нём, в отличие от других трендов 2014 года (Кто-нибудь еще помнит вызов с ледяным ведром?).

Версия один Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после чего была выявлена новая версия программы. Эта версия, получившая название Emotet версия два, включала несколько модулей, включая систему перевода денег, модуль malspam и банковский модуль, нацеленный на немецкие и австрийские банки.

"Текущие версии трояна Emotet включают возможность установки другого вредоносного ПО на зараженные машины. Это ПО может включать и другие банковские трояны или услуги доставки malspam."

К январю 2015 года появилась новая версия Emotet. Третья версия содержала изменения, позволяющие трояну оставаться незамеченным, и добавила новые цели среди швейцарских банков.

В 2018 году в новых версиях троянца Emotet появилась возможность устанавливать на зараженные компьютеры другие вредоносные программы. В число этих вредоносных программ могут входить другие троянцы и программы-вымогатели. По данным Gizmodo, атака Emotet на город Лейк-Сити (штат Флорида) в июле 2019 года обошлась городу в 460 000 долларов США в виде выплат за выкуп. Анализ этой атаки показал, что Emotet служил лишь первоначальным вектором заражения. После заражения Emotet загружал другого банковского троянца, известного как TrickBot, и программу-вымогатель Ryuk.

После того как в течение большей части 2019 года Emotet относительно затих, в сентябре того же года он вернулся с новой силой. Malwarebytes Labs сообщали о спам-кампании, управляемой ботнетом, нацеленной на немецких, польских, итальянских и английских жертв с хитро придуманными темами писем, такими как "Оплата по счету" и "Просроченный счёт". Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet с взломанных сайтов на WordPress.

На кого нацелен Emotet?

Каждый человек является мишенью для Emotet. На сегодняшний день Emotet поразил частных лиц, компании и правительственные организации по всей территории США и Европы, похищая банковские логины, финансовые данные и даже кошельки Bitcoin.

Одна из заметных атак Emotet на городской совет Аллентаун, Пенсильвания, потребовала непосредственной помощи от команды реагирующей на инциденты компании Microsoft и обошлась городу в более чем 1 миллион долларов.

Теперь, когда Emotet используется для загрузки и доставки других банковских троянов, список целей, возможно, стал еще шире. Ранние версии Emotet использовались для атак на банковских клиентов в Германии. Поздние версии Emotet нацеливались на организации в Канаде, Великобритании и Соединенных Штатах.

"Одна из заметных атак Emotet на городской совет Аллентаун, Пенсильвания, потребовала непосредственной помощи от команды реагирующей на инциденты компании Microsoft и обошлась городу в более чем 1 миллион долларов."

Как я могу защитить себя от Emotet?

Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, изучая как работает Emotet. Вот несколько дополнительных шагов, которые вы можете предпринять:

Следите за тем, чтобы ваш компьютер или конечные точки системы были обновлены последними патчами для Microsoft Windows. TrickBot часто доставляется как вторичный полезный нагрузка Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue, чтобы выполнять свои грязные дела, так что исправьте эту уязвимость, прежде чем киберпреступники смогут воспользоваться ею.
Не загружайте подозрительные вложения и не кликайте на сомнительные ссылки. Emotet не сможет захватить первоначальную точку опоры в вашей системе или сети, если вы избегаете подозрительных писем. Потратьте время, чтобы научить пользователей распознаванию malspam.
Обучите себя и своих пользователей созданию надежного пароля. Пока вы этим занимаетесь, начните использовать двухфакторную аутентификацию.
Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, включающей многослойную защиту. Продукты Malwarebytes для бизнеса и премиум-потребителей обнаруживают и блокируют Emotet в режиме реального времени.

Как я могу удалить Emotet?

Если вы подозреваете, что уже заражены Emotet, не паникуйте. Если ваш компьютер подключен к сети, изолируйте его немедленно. После изоляции, приступите к обновлению и очистке зараженной системы. Но на этом ваша работа не заканчивается. Из-за того, как Emotet распространяется по вашей сети, чистый компьютер может быть повторно заражен при повторном подключении к зараженной сети. Очистите каждый компьютер в вашей сети по одному. Это утомительный процесс, но решения для бизнеса Malwarebytes могут облегчить его, изолируя и очищая зараженные конечные точки и предлагая проактивную защиту от будущих инфекций Emotet.

Если знание — это половина сражения, загляните в Malwarebytes Labs, где вы можете узнать больше о способах избегания обнаружения Emotet и о том, как работает его код.