- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 423 zobrazení
Kdysi byl Emotet označen jako „nejnebezpečnější malware na světě“, údajně se vrátil a je instalován na systémy Windows infikované malwarem TrickBot.
Nejprve trochu historie. Emotet byl jednou z nejprofesionálnějších a nejdéle trvajících služeb v oblasti počítačové kriminality. Malware, objevený jako trojský kůň v roce 2014, se v průběhu let vyvinul v řešení pro kyberzločince. Podle Europolu fungovala infrastruktura Emotet jako primární otevírání dveří pro počítačové systémy v celosvětovém měřítku. Jakmile byl zřízen přístup, byly prodány dalším zločineckým skupinám na nejvyšší úrovni, aby mohly využít další nezákonné aktivity, jako je krádež dat a vydírání prostřednictvím ransomwaru.
Podle Europolu to bylo tak nebezpečné, že malware byl nabídnut k pronájmu dalším kyberzločincům k instalaci různých typů malwaru, jako jsou bankovní trojské koně nebo ransomware, do počítače oběti. Tento typ útoku se nazývá operace „loader“ a Emotet je považován za jednoho z nejvýznamnějších hráčů ve světě kyberzločinu, protože z něj těžili další provozovatelé malwaru jako TrickBot a Ryuk. Jeho jedinečný způsob infikování sítí šířením hrozby laterálně poté, co získal přístup jen k několika zařízením v síti, z něj udělal jeden z nejodolnějších malwarů.
Europol počátkem tohoto roku vážně narušil Emotet tím, že získal kontrolu nad jeho infrastrukturou a zlikvidoval ji zevnitř. Infikované stroje obětí byly přesměrovány do infrastruktury řízené donucovacími orgány, aby účinně narušily aktivity aktérů hrozby.
Nyní vědci nedávno pozorovali, že trojan TrickBot spouští na počítače se systémem Windows něco, co se zdá být novým nakladačem nechvalně známého malwaru.
„Na několika našich sledovačích Trickbot jsme zaznamenali, že se bot pokusil stáhnout DLL do systému. Podle interního zpracování byly tyto knihovny DLL identifikovány jako Emotet. Vzhledem k tomu, že botnet byl odstraněn na začátku tohoto roku, byli jsme ohledně zjištění podezřívaví a provedli jsme počáteční manuální ověření,“ napsal na blogu Luca Ebach, bezpečnostní výzkumník ve společnosti G Data.
Další výzkumníci kybernetické bezpečnosti z Crypolaemus a AdvInterl také potvrdili, že se Emotet zřejmě vrátil.
Podle bezpečnostního výzkumníka Brada Duncana začal botnet Emotet spamovat několik e-mailových kampaní pomocí e-mailů typu replay-chain, aby přiměl příjemce otevřít škodlivé soubory a infikovat zařízení malwarem.
Stefano De Blasi, analytik Cyber Threat Intelligence ze společnosti Digital Shadows, poskytovatele řešení ochrany před digitálními riziky se sídlem v San Franciscu, vysvětluje: „Podle bezpečnostních výzkumníků, kteří zkoumali návrat malwaru, Emotet pravděpodobně přebuduje část své infrastruktury s pomocí stávajícího TrickBotu. V rámci těchto snah o rozvoj zdrojů operátoři Emotet pravděpodobně kradou e-mailové řetězce, aby je použili v dalších škodlivých aktivitách. Jak jsme podrobně uvedli v našem nejnovějším blogu na Fight the Pish!, kyberzločinci stále častěji používají techniky únosů e-mailů během svých kampaní sociálního inženýrství. Jakmile získají kontrolu nad e-mailovým účtem oběti, mohou aktéři hrozeb monitorovat konverzace a identifikovat ideální příležitost vložit škodlivý e-mail do existujícího vlákna. Jak řekl Kim: "I když je to pravděpodobně pracnější pro aktéra ohrožení, přináší to také vyšší odměny."
De Blasi dodává: „Nová varianta nechvalně známého malwaru údajně sleduje podobnou cestu, jak kromě jiných užitečných zatížení příkazů a řízení (C2) doručuje jak škodlivé soubory Office, tak soubory ZIP. Ty jsou údajně distribuovány prostřednictvím botnetu Trickbot, což opět zdůrazňuje úzké propojení mezi těmito dvěma rodinami malwaru. S tímto návratem bude Emotet pravděpodobně přijat zpět do příručky několika prominentních kyberzločinců, mezi které téměř jistě budou patřit skupiny ransomwaru. Odstranění Emotet zanechalo vakuum vyplněné některým alternativním malwarem, včetně Dridex, Qakbot a IcedID. Mnoho kyberzločineckých skupin se může vrátit k Emotet jako osvědčený přístup, ačkoli tyto změny se pravděpodobně projeví během několika měsíců. Přestavba infrastruktury Emotet bude jistě nějakou dobu trvat; nicméně jeho masivní pověst v komunitě kyberzločinců z něj dělá předvídatelnou volbu pro mnoho aktérů hrozeb, kteří chtějí rozšířit své operace.“
Můžete se tedy zeptat, na co by si bezpečnostní týmy měly dávat pozor. De Blasi říká: „Hrozba, kterou Emotet představuje, je významná; jeho návrat by však pro modré týmy neměl znamenat dramatický posun. Bezpečnostní týmy by měly dodržovat základní hygienické postupy v oblasti kybernetické bezpečnosti, aby zajistily odpovídající úroveň ochrany podobně jako jiné varianty malwaru. E-mailové brány, které zabraňují příchodu škodlivých e-mailů, informovanost uživatelů o phishingových kampaních a uplatnění omezení na používání maker v souborech Office pomohou snížit riziko, které představuje většina forem malwaru. Kromě toho jsou klíčovými kroky v obraně proti Emotet monitorování domén vydávajících se za zosobnění, umožnění vícefaktorové autentizace a zajištění hladkého procesu hlášení phishingu.
Související článek:
Autor původního článku: Maria Henriquez
Překlad: Ondřej Strachota