Najgroźniejsze na świecie złośliwe oprogramowanie EMOTET zatrzymane

29 stycznia 2021
Knowledge Base

Organy ścigania i organy sądowe na całym świecie przerwały ostatnio działalność jednego z najważniejszych botnetów ostatniej dekady: EMOTET. Śledczy przejęli kontrolę nad jego infrastrukturą w ramach skoordynowanej akcji międzynarodowej. Operacja ta jest wynikiem wspólnych wysiłków władz Królestwa Niderlandów, Niemiec, Stanów Zjednoczonych, Wielkiej Brytanii, Francji, Litwy, Kanady i Ukrainy, a działalność międzynarodową koordynują Europol i Eurojust. Operacja ta została przeprowadzona w ramach Europejskiej Multidyscyplinarnej Platformy Przeciwko Zagrożeniom Przestępczym (EMPACT).

EMOTET był dotychczas jedną pośród grona profesjonalnych organizacji związanych z cyberprzestępczością. Po raz pierwszy wykryty jako trojan bankowy w 2014 r., przez lata ewoluował do rangi oprogramowania nr 1 wśród cyberprzestępców. Infrastruktura EMOTET zasadniczo działała jako główny mechanizm otwierania drzwi systemów komputerowych w skali globalnej. Po uzyskaniu nieautoryzowanego dostępu sprzedawano je innym grupom przestępczym najwyższego szczebla w celu przeprowadzenia dalszych nielegalnych działań, takich jak kradzież danych i wyłudzenia.

Rozpowszechnianie za pośrednictwem dokumentów Word

Grupa EMOTET zdołała przenieść pocztę elektroniczną jako wektor ataku na wyższy poziom. W ramach w pełni zautomatyzowanego procesu szkodliwe oprogramowanie EMOTET dostarczane było na komputery ofiar za pośrednictwem zainfekowanych załączników wiadomości e-mail. Wykorzystywano wiele różnych przynęt, aby nakłonić niczego nie podejrzewających użytkowników do otwarcia złośliwych załączników. W przeszłości kampanie e-mailowe EMOTET były również prezentowane jako faktury, powiadomienia o wysyłce i informacje o COVID-19.

Wszystkie te wiadomości e-mail zawierały dokumenty Worda, dołączone do samej wiadomości e-mail lub plik do pobrania czy też łącze w wiadomości e-mail. Gdy użytkownik otworzył jeden z tych dokumentów, automatycznie zostawał poproszony o „zezwolenie na uzyskanie dostępu”. Wszystko po to, aby złośliwy kod ukryty w pliku Word mógł uruchomić i zainstalować szkodliwe oprogramowanie EMOTET na komputerze ofiary.

Ataki do wynajęcia

EMOTET był czymś więcej niż tylko złośliwym oprogramowaniem. To, co uczyniło EMOTET tak niebezpiecznym, to fakt, że złośliwe oprogramowanie było oferowane do wynajęcia innym cyberprzestępcom w celu zainstalowania na komputerze ofiary innego rodzaju szkodliwego oprogramowania, takiego jak trojany bankowe lub oprogramowanie ransomware.

Ten rodzaj ataku nazywany jest operacją „ładującą”, a EMOTET jest uważany za jednego z największych graczy w świecie cyberprzestępczości, ponieważ inni operatorzy złośliwego oprogramowania, tacy jak TrickBot i Ryuk, tylko na tym skorzystali.

Jego unikalny sposób infekowania sieci poprzez rozprzestrzenianie zagrożenia na bok po uzyskaniu dostępu do zaledwie kilku urządzeń w sieci sprawił, że jest to jedno z najbardziej odpornych szkodliwych programów na wolności.

Zakłócenie infrastruktury EMOTET

Infrastruktura, z której korzystał EMOTET, obejmowała kilkaset serwerów zlokalizowanych na całym świecie, z których wszystkie miały różne funkcje, których celem było: zarządzanie komputerami zainfekowanych ofiar, rozprzestrzenianie się na nowe, obsługa innych grup przestępczych, a ostatecznie sprawienie, by sieć stała się jeszcze bardziej odporna na próby usunięcia.

Aby poważnie zakłócić działanie infrastruktury EMOTET, organy ścigania połączyły siły, aby stworzyć skuteczną strategię operacyjną. Doprowadziło to do akcji w tym tygodniu, w której organy ścigania i organy sądowe przejęły kontrolę nad infrastrukturą i zdemontowały ją od wewnątrz. Zainfekowane maszyny ofiar zostały przekierowane do tej infrastruktury kontrolowanej przez organy ścigania. Jest to zupełnie nowatorskie podejście do skutecznego zakłócania działań ułatwiających cyberprzestępczość.

Jak zabezpieczyć się przed „ładowaczami”

Wiele botnetów, takich jak EMOTET, ma charakter polimorficzny. Oznacza to, że złośliwe oprogramowanie zmienia swój kod przy każdym wywołaniu. Ponieważ wiele programów antywirusowych skanuje komputer w poszukiwaniu znanych kodów złośliwego oprogramowania, zmiana kodu może spowodować trudności w jego wykryciu, umożliwiając początkowo niewykrywanie infekcji.

Połączenie zaktualizowanych narzędzi do cyberbezpieczeństwa (antywirusy i systemy operacyjne), a także umocnienie świadomości w zakresie cyberbezpieczeństwa jest niezbędne, aby uniknąć stania się ofiarą wyrafinowanych botnetów, takich jak EMOTET. Użytkownicy powinni uważnie sprawdzać pocztę i unikać otwierania wiadomości, a zwłaszcza załączników od nieznanych nadawców. Jeśli wiadomość wydaje się zbyt piękna, aby była prawdziwa, prawdopodobnie tak jest i za wszelką cenę należy unikać e-maili błagających o naszą uwagę.

W ramach dochodzenia karnego prowadzonego przez holenderską policję w EMOTET odkryto bazę danych zawierającą adresy e-mail, nazwy użytkowników i hasła skradzione przez EMOTET.

Już teraz mogą Państwo sprawdzić, czy Państwa adres e-mail nie został naruszony, na stronie www.politie.nl/emocheck. W ramach globalnej strategii naprawczej, w celu zainicjowania powiadamiania poszkodowanych i oczyszczenia systemów, informacje były rozpowszechniane na całym świecie za pośrednictwem sieci tzw. Zespołów Reagowania na Awarie Komputerowe (CERT).

W operacji wzięły udział następujące władze:

Holandia: policja krajowa (Politie), prokuratura krajowa (Landelijk Parket)
Niemcy: Federalna Policja Kryminalna (Bundeskriminalamt), Prokuratura Generalna Frankfurt / Main (Generalstaatsanwaltschaft)
Francja: policja krajowa (Police Nationale), sąd sądowy w Paryżu (Tribunal Judiciaire de Paris)
Litwa: Litewskie Biuro Policji Kryminalnej (Lietuvos kriminal biurinės policijosas), Biuro Prokuratora Generalnego Litwy
Kanada: Królewska Kanadyjska Policja Konna
Stany Zjednoczone: Federalne Biuro Śledcze, Departament Sprawiedliwości USA, Biuro Prokuratora Okręgowego Środkowego Dystryktu Karoliny Północnej
Wielka Brytania: National Crime Agency, Crown Prosecution Service
Ukraina: Policja Narodowa Ukrainy (Національна поліція України), Prokuratura Generalna (Офіс Генерального прокурора)

Źródło: Eurojust i Europol

Zostaw odpowiedź

Your email address will not be published. Required fields are marked *