Эмотет

Emotet - это разновидность вредоносного ПО, изначально созданная как банковский троян, нацеленный на кражу финансовых данных, но в настоящее время она превратилась в серьезную угрозу для пользователей во всем мире.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

Давайте поговорим о вредоносных программах Emotet

Возможно, вы уже слышали об Эмотете в новостях. Что это: Древнеегипетский царь, любимая эмо-группа вашей сестры-подростка? Боимся, что нет.

Банковский троянец Emotet был впервые обнаружен исследователями безопасности в 2014 году. Изначально Emotet был разработан как банковская вредоносная программа, которая пыталась пробраться на ваш компьютер и украсть конфиденциальную и частную информацию. В более поздних версиях программы были добавлены сервисы рассылки спама и доставки вредоносного ПО, в том числе и других банковских троянцев.

Emotet использует функциональные возможности, которые помогают программе избегать обнаружения некоторыми антивирусными продуктами. Emotet использует червеподобные возможности для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функциональность привела Министерство внутренних дел США Security к выводу, что Emotet является одним из самых дорогостоящих и разрушительных вредоносных программ, поражающих правительственный и частный секторы, отдельных людей и организации, и требующих затрат на ликвидацию последствий инцидента в размере до 1 млн долларов.

Что такое Эмотет?

Emotet - это троянец, который распространяется в основном через спам(malspam). Заражение может происходить через вредоносный скрипт, файлы документов с макросами или вредоносную ссылку. Письма Emotet могут содержать знакомый брендинг, созданный для того, чтобы выглядеть как легитимное письмо. Emotet может пытаться убедить пользователя нажать на вредоносный файл, используя заманчивые формулировки о "Вашем счете", "Платежных реквизитах" или, возможно, о предстоящей отправке от известных посылочных компаний.

Emotet пережил несколько итераций. Ранние версии представляли собой вредоносный JavaScript-файл. Более поздние версии стали использовать документы с поддержкой макросов для получения полезной нагрузки вируса с командно-контрольных (C&C) серверов, управляемых злоумышленниками. 

Emotet использует ряд уловок, чтобы попытаться предотвратить обнаружение и анализ. В частности, Emotet знает, запущен ли он внутри виртуальной машины (VM), и замирает, если обнаруживает среду "песочницы" - инструмент, который исследователи кибербезопасности используют для наблюдения за вредоносным ПО в безопасном, контролируемом пространстве.

Emotet также использует C&C-серверы для получения обновлений. Это происходит так же, как и обновление операционной системы на вашем компьютере, и может происходить незаметно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, инсталлировать дополнительные вредоносные программы, такие как другие банковские троянцы, или выступать в качестве "свалки" для украденной информации, такой как финансовые реквизиты, имена пользователей и пароли, адреса электронной почты.

Новости Эмотет

Как распространяется Эмотет?

Основным способом распространения Emotet является вредоносный спам. Emotet вылавливает ваш список контактов и рассылает себя вашим друзьям, родственникам, коллегам и клиентам. Поскольку эти письма приходят с вашего взломанного почтового ящика, они меньше похожи на спам, и получатели, чувствуя себя в безопасности, охотнее переходят по нежелательным URL-адресам и загружают зараженные файлы.

При наличии подключенной сети Emotet распространяется с помощью списка общих паролей, угадывая путь к другим подключенным системам методом перебора. Если пароль к важному серверу отдела кадров - просто "password", то, скорее всего, Emotet найдет туда дорогу.

Изначально исследователи полагали, что Emotet также распространяется с помощью уязвимостей EternalBlue/DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для своего распространения по сети. Именно TrickBot, а не Emotet, воспользовался уязвимостями EternalBlue/DoublePulsar.

Какова история Эмотета?

Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы все еще говорим о нем, в отличие от других трендов 2014 года (Ice Bucket Challenge, кто-нибудь?).

Первая версия Emotet предназначалась для кражи данных банковских счетов путем перехвата интернет-трафика. Через некоторое время после этого была обнаружена новая версия программы. Эта версия, получившая название Emotet version two, поставлялась в комплекте с несколькими модулями, включая систему денежных переводов, модуль для рассылки вредоносного спама и банковский модуль, нацеленный на немецкие и австрийские банки.

"Текущие версии троянца Emotet способны устанавливать на зараженные компьютеры другие вредоносные программы. Это вредоносное ПО может включать другие банковские троянцы или службы доставки вредоносного спама".

К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала стелс-модификации, призванные сделать вредоносную программу незаметной, и добавляла новые цели для швейцарских банков.

В 2018 году новые версии троянца Emotet получили возможность устанавливать на зараженные компьютеры другие вредоносные программы. Среди этих вредоносных программ могут быть другие троянцы и программы-вымогатели. По данным Gizmodo, атака Emotet на город Лейк-Сити (штат Флорида) в июле 2019 года обошлась городу в 460 000 долларов США в виде выплат за выкуп. Анализ этой атаки показал, что Emotet служил лишь первоначальным вектором заражения. После заражения Emotet загружал другого банковского троянца, известного как TrickBot, и программу-вымогатель Ryuk.

После относительного затишья в течение большей части 2019 года Emotet вернулся с новыми силами. В сентябре 2019 года Malwarebytes Labs сообщил о спам-кампании, управляемой ботнетом и направленной на немецких, польских, итальянских и английских жертв, с хитро сформулированными темами, такими как "Авизо об оплате" и "Просроченный счет". Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.

На кого нацелен Эмотет?

Каждый человек является мишенью для Emotet. На сегодняшний день Emotet поразил частных лиц, компании и правительственные организации по всей территории США и Европы, похищая банковские логины, финансовые данные и даже кошельки Bitcoin.

Одна из примечательных атак Emotet на город Аллентаун, штат Пенсильвания, потребовала непосредственной помощи команды реагирования на инциденты Microsoft и, как сообщается, обошлась городу в сумму до 1 млн долларов.

Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально становится еще шире. Ранние версии Emotet использовались для атак на банковских клиентов в Германии. Более поздние версии Emotet атаковали организации в Канаде, Великобритании и США.

"Для устранения последствий одной примечательной атаки Emotet на город Аллентаун, штат Пенсильвания, потребовалась непосредственная помощь команды реагирования на инциденты Microsoft, и, как сообщается, ее устранение обошлось городу в сумму до 1 млн долларов".

Как защитить себя от Эмотета?

Вы уже сделали первый шаг к защите себя и своих пользователей от Emotet, узнав , как работает Emotet. Вот несколько дополнительных шагов, которые вы можете предпринять:

  1. Обновляйте свои компьютеры/конечные точки последними исправлениями для Microsoft Windows. TrickBot часто поставляется в качестве вторичной полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей грязной работы, поэтому исправьте эту уязвимость до того, как злоумышленники смогут воспользоваться ею.
  2. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать подозрительных писем. Уделите время обучению своих пользователей тому , как распознать вредоносный спам.
  3. Обучите себя и своих пользователей созданию надежных паролей. Начните использовать двухфакторную аутентификацию.
  4. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, включающей многоуровневую защиту. Malwarebytes бизнес и потребительские продукты премиум-класса обнаруживают и блокируют Emotet в режиме реального времени.  

Как удалить Emotet?

Если вы подозреваете, что уже заразились Emotet, не пугайтесь. Если ваш компьютер подключен к сети, немедленно изолируйте его. После изоляции приступайте к исправлению и очистке зараженной системы. Но это еще не все. Из-за способа распространения Emotet по сети чистый компьютер может быть повторно заражен, если его снова подключить к зараженной сети. Очищайте каждый компьютер в сети по очереди. Это утомительный процесс, но решения для бизнесаMalwarebytes могут облегчить его, изолируя и устраняя зараженные конечные точки и обеспечивая проактивную защиту от будущих заражений Emotet.

Если знание - половина успеха, перейдите по ссылке Malwarebytes Labs и вы сможете узнать больше о том , как Emotet уклоняется от обнаружения и как работает код Emotet.