Что такое Emotet?

отредактировано 6 янв Раздел: Вирусы & Антивирусы
shutterstock_248596792-900x506.jpg

Банковский троян Emotet был впервые обнаружен исследователями безопасности в 2014 году. Первоначально Emotet создавался как банковское вредоносное ПО, которое пыталось проникнуть на ваш компьютер и украсть конфиденциальную и личную информацию. В более поздних версиях программного обеспечения были добавлены службы рассылки спама и вредоносных программ, в том числе других банковских троянцев. Emotet использует функции, которые помогают избежать обнаружения программного обеспечения некоторыми продуктами для защиты от вредоносных программ. Emotet использует возможности червя для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функция позволила прийти к выводу, что Emotet является одним из наиболее дорогостоящих и разрушительных вредоносных программ, поражающих государственный и частный секторы, отдельных лиц и организации, а устранение которых обходится в 1 миллион долларов за инцидент.

Что такое Emotet? Emotet - это троянец, который в основном распространяется через спам-сообщения (malspam). Заражение может происходить либо через вредоносный сценарий, файлы документов с поддержкой макросов, либо через вредоносную ссылку. Электронные письма Emotet могут содержать знакомый брендинг, который выглядит как подлинное электронное письмо. Emotet может попытаться убедить пользователей щелкнуть вредоносные файлы, используя соблазнительные выражения о «вашем счете», «платежных реквизитах» или, возможно, о предстоящей доставке от известных компаний по доставке. Emotet прошел несколько итераций. Ранние версии поступали в виде вредоносного файла JavaScript. В более поздних версиях использовались документы с поддержкой макросов для извлечения полезной нагрузки вируса с серверов управления и контроля (C&C), запускаемых злоумышленниками. Emotet использует ряд уловок, чтобы предотвратить обнаружение и анализ. Примечательно, что Emotet знает, работает ли он внутри виртуальной машины (ВМ), и будет бездействовать, если обнаружит среду песочницы, которая является инструментом, который исследователи кибербезопасности используют для наблюдения за вредоносными программами в безопасном контролируемом пространстве. Emotet также использует C&C серверы для получения обновлений. Это работает так же, как и обновления операционной системы на вашем ПК, и может происходить плавно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или действовать в качестве свалки для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, а также адреса электронной почты.

Как распространяется Emotet? Основной метод распространения Emotet - вредоносный спам. Emotet просматривает ваш список контактов и отправляет его вашим друзьям, семье, коллегам и клиентам. Поскольку эти электронные письма поступают из вашей взломанной учетной записи электронной почты, электронные письма меньше похожи на спам, а получатели, чувствуя себя в безопасности, более склонны переходить по неправильным URL-адресам и загружать зараженные файлы. Если подключенная сеть присутствует, Emotet распространяется с использованием списка общих паролей, угадывая путь к другим подключенным системам в результате атаки грубой силы. Если пароль для важнейшего сервера отдела кадров - это просто «password», то, скорее всего, Emotet найдет там свой путь. Первоначально исследователи думали, что Emotet также распространяется с использованием уязвимостей EternalBlue / DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для распространения по заданной сети. Это был TrickBot, а не Emotet, который воспользовался уязвимостями EternalBlue / DoublePulsar.

Какова история Emotet? Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы до сих пор говорим об этом, в отличие от других тенденций 2014 года . Первая версия Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после этого была обнаружена новая версия программного обеспечения. Эта версия, получившая название Emotet version 2, поставлялась с несколькими модулями, включая систему денежных переводов, модуль против спама и банковский модуль, предназначенный для немецких и австрийских банков. К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала скрытые модификации, предназначенные для того, чтобы вредоносная программа оставалась незамеченной, и добавляла новые цели для швейцарских банков. Перенесемся в 2018 год - новые версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие трояны и программы-вымогатели. По данным Gizmodo, в июле 2019 года атака Emotet в Лейк-Сити, обошлась городу в 460000 долларов. Анализ атаки показал, что Emotet служил только первоначальным вектором заражения. После заражения Emotet загрузил еще один банковский троян, известный как TrickBot и программу-вымогатель Ryuk. В сентябре 2019 года Malwarebytes Labs сообщила о спам-кампании, организованной ботнетами, нацеленной на жертв из Германии, Польши, Италии и Англии, с искусно сформулированными темами, такими как «Уведомление о переводе платежей» и «Просроченный счет». Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.

«Текущие версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие банковские трояны или службы доставки вредоносного спама »

На кого нацелен Emotet? Каждый является целью Emotet. На сегодняшний день Emotet атакует частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткойн-кошельки. Одна заслуживающая внимания атака Emotet на город Аллентаун, штат Пенсильвания, потребовала прямой помощи от группы реагирования на инциденты Microsoft для очистки и, как сообщается, стоила городу более 1 миллиона долларов для устранения. Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально еще шире. Ранние версии Emotet использовались для атак на клиентов банков в Германии. Более поздние версии Emotet были нацелены на организации в Канаде, Великобритании и США.
Как я могу защитить себя от Emotet? Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, узнав, как работает Emotet. Вот несколько шагов, которые вы можете предпринять: Держите компьютер / конечные точки в актуальном состоянии с помощью последних исправлений для Microsoft Windows. TrickBot часто поставляется в качестве полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей работы, поэтому исправляйте эту уязвимость, прежде чем киберпреступники смогут ею воспользоваться. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать этих подозрительных писем. Найдите время, чтобы обучить своих пользователей тому, как определять вредоносный спам. Обучите себя и своих пользователей созданию надежного пароля. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, которая включает многоуровневую защиту.

https://www.malwarebytes.com/emotet/
Тэги темы:

Комментарии

  • Анализ вредоносных программ: расшифровка Emotet, часть 1
    Анализ вредоносных программ: расшифровка Emotet, часть 2
  • отредактировано 27 янв PM
    Ботнет Emotet прерван после глобальной операции по удалению

    Инфраструктура самого опасного на сегодняшний день ботнета, созданная киберпреступниками с использованием вредоносного ПО Emotet, была отключена в результате международных скоординированных действий, координируемых Европолом и Евроюстом.

    Совместные усилия правоохранительных органов и властей Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины позволили следователям взять под контроль серверы ботнета и нарушить работу вредоносного ПО.

    После глобального расследования судебные органы и правоохранительные органы отключили всю инфраструктуру ботнета изнутри, получив контроль над его серверами в начале этой недели.

    «Инфраструктура, которая использовалась EMOTET, включала несколько сотен серверов, расположенных по всему миру, и все они имели разные функции, чтобы управлять компьютерами зараженных жертв, распространять их на новые, обслуживать другие преступные группы и, в конечном итоге, сделать сеть более устойчивой к попыткам взлома », - пояснил Европол.

    «Зараженные машины жертв были перенаправлены в эту контролируемую правоохранительными органами инфраструктуру. Это уникальный и новый подход, позволяющий эффективно помешать деятельности пособников киберпреступности».

    Вы можете проверить, не был ли ваш адрес электронной почты взломан Emotet и использован для доставки вредоносных писем, используя портал национальной полиции Нидерландов.

    Этот портал поможет вам выполнить поиск в базе данных адресов электронной почты, имен пользователей и паролей, украденных Emotet и обнаруженных ранее на этой неделе Национальной полицией Нидерландов в ходе уголовного расследования, которое привело к сбою ботнета.

    Emotet.jpg

    Самый крупный и опасный ботнет на сегодняшний день

    Вредоносная программа Emotet была впервые обнаружена как банковский троян в 2014 году и превратилась в ботнет, используемый группой угроз TA542 (также известной как Mummy Spider) для развертывания полезных нагрузок вредоносных программ второго уровня.

    Emotet сбрасывает троянские программы QakBot и Trickbot (которые, в свою очередь, развертывают программы-вымогатели Ryuk и Conti) на скомпрометированных компьютерах жертв.

    «Инфраструктура EMOTET, по сути, выступила в качестве основного механизма открытия дверей для компьютерных систем в глобальном масштабе», - добавил Европол.

    «Как только этот несанкционированный доступ был установлен, они были проданы другим высокопоставленным преступным группировкам для дальнейших незаконных действий, таких как кража данных и вымогательство с помощью программ-вымогателей».

    После более чем месячного перерыва ботнет Emotet был возрожден 21 декабря [1, 2], когда Microsoft обнаружила кампанию, доставляющую «широкий спектр приманок в виде огромных объемов электронных писем, использование поддельных ответов или переадресованных писем, защищенные паролем вложения архива ".

    Перед этим коротким перерывом Emotet нацелился на правительства штатов и местные власти США в потенциально целевых кампаниях, согласно октябрьскому сообщению DHS-CISA.

    Высокоактивный ботнет Trickbot также был частично и временно отключен после совместной операции в октябре 2020 года.

    https://www.bleepingcomputer.com/news/security/emotet-botnet-disrupted-after-global-takedown-operation/
  • Европол: вредоносная программа Emotet удалит себя 25 апреля

    Правоохранительные органы начали распространять на зараженные устройства модуль Emotet, который удалит вредоносное ПО 25 апреля 2021 года.

    Сегодня Европол объявил о прекращении работы печально известного ботнета для рассылки спама Emotet, который использовался для распространения вредоносных вложений спама Word, которые устанавливают такие вредоносные программы, как TrickBot и Qbot.

    Эти атаки обычно приводят к полной компрометации сети зараженных компаний и развертыванию Ryuk и Conti с помощью TrickBot и ProLock или Egregor с помощью Qbot.

    https://www.bleepingcomputer.com/news/security/europol-emotet-malware-will-uninstall-itself-on-april-25th/
Войдите или Зарегистрируйтесь чтобы комментировать.