Что такое Emotet?

отредактировано January 2021 Раздел: Вирусы & Антивирусы
shutterstock_248596792-900x506.jpg

Банковский троян Emotet был впервые обнаружен исследователями безопасности в 2014 году. Первоначально Emotet создавался как банковское вредоносное ПО, которое пыталось проникнуть на ваш компьютер и украсть конфиденциальную и личную информацию. В более поздних версиях программного обеспечения были добавлены службы рассылки спама и вредоносных программ, в том числе других банковских троянцев. Emotet использует функции, которые помогают избежать обнаружения программного обеспечения некоторыми продуктами для защиты от вредоносных программ. Emotet использует возможности червя для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функция позволила прийти к выводу, что Emotet является одним из наиболее дорогостоящих и разрушительных вредоносных программ, поражающих государственный и частный секторы, отдельных лиц и организации, а устранение которых обходится в 1 миллион долларов за инцидент.

Что такое Emotet? Emotet - это троянец, который в основном распространяется через спам-сообщения (malspam). Заражение может происходить либо через вредоносный сценарий, файлы документов с поддержкой макросов, либо через вредоносную ссылку. Электронные письма Emotet могут содержать знакомый брендинг, который выглядит как подлинное электронное письмо. Emotet может попытаться убедить пользователей щелкнуть вредоносные файлы, используя соблазнительные выражения о «вашем счете», «платежных реквизитах» или, возможно, о предстоящей доставке от известных компаний по доставке. Emotet прошел несколько итераций. Ранние версии поступали в виде вредоносного файла JavaScript. В более поздних версиях использовались документы с поддержкой макросов для извлечения полезной нагрузки вируса с серверов управления и контроля (C&C), запускаемых злоумышленниками. Emotet использует ряд уловок, чтобы предотвратить обнаружение и анализ. Примечательно, что Emotet знает, работает ли он внутри виртуальной машины (ВМ), и будет бездействовать, если обнаружит среду песочницы, которая является инструментом, который исследователи кибербезопасности используют для наблюдения за вредоносными программами в безопасном контролируемом пространстве. Emotet также использует C&C серверы для получения обновлений. Это работает так же, как и обновления операционной системы на вашем ПК, и может происходить плавно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или действовать в качестве свалки для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, а также адреса электронной почты.

Как распространяется Emotet? Основной метод распространения Emotet - вредоносный спам. Emotet просматривает ваш список контактов и отправляет его вашим друзьям, семье, коллегам и клиентам. Поскольку эти электронные письма поступают из вашей взломанной учетной записи электронной почты, электронные письма меньше похожи на спам, а получатели, чувствуя себя в безопасности, более склонны переходить по неправильным URL-адресам и загружать зараженные файлы. Если подключенная сеть присутствует, Emotet распространяется с использованием списка общих паролей, угадывая путь к другим подключенным системам в результате атаки грубой силы. Если пароль для важнейшего сервера отдела кадров - это просто «password», то, скорее всего, Emotet найдет там свой путь. Первоначально исследователи думали, что Emotet также распространяется с использованием уязвимостей EternalBlue / DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для распространения по заданной сети. Это был TrickBot, а не Emotet, который воспользовался уязвимостями EternalBlue / DoublePulsar.

Какова история Emotet? Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы до сих пор говорим об этом, в отличие от других тенденций 2014 года . Первая версия Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после этого была обнаружена новая версия программного обеспечения. Эта версия, получившая название Emotet version 2, поставлялась с несколькими модулями, включая систему денежных переводов, модуль против спама и банковский модуль, предназначенный для немецких и австрийских банков. К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала скрытые модификации, предназначенные для того, чтобы вредоносная программа оставалась незамеченной, и добавляла новые цели для швейцарских банков. Перенесемся в 2018 год - новые версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие трояны и программы-вымогатели. По данным Gizmodo, в июле 2019 года атака Emotet в Лейк-Сити, обошлась городу в 460000 долларов. Анализ атаки показал, что Emotet служил только первоначальным вектором заражения. После заражения Emotet загрузил еще один банковский троян, известный как TrickBot и программу-вымогатель Ryuk. В сентябре 2019 года Malwarebytes Labs сообщила о спам-кампании, организованной ботнетами, нацеленной на жертв из Германии, Польши, Италии и Англии, с искусно сформулированными темами, такими как «Уведомление о переводе платежей» и «Просроченный счет». Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.

«Текущие версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие банковские трояны или службы доставки вредоносного спама »

На кого нацелен Emotet? Каждый является целью Emotet. На сегодняшний день Emotet атакует частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткойн-кошельки. Одна заслуживающая внимания атака Emotet на город Аллентаун, штат Пенсильвания, потребовала прямой помощи от группы реагирования на инциденты Microsoft для очистки и, как сообщается, стоила городу более 1 миллиона долларов для устранения. Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально еще шире. Ранние версии Emotet использовались для атак на клиентов банков в Германии. Более поздние версии Emotet были нацелены на организации в Канаде, Великобритании и США.
Как я могу защитить себя от Emotet? Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, узнав, как работает Emotet. Вот несколько шагов, которые вы можете предпринять: Держите компьютер / конечные точки в актуальном состоянии с помощью последних исправлений для Microsoft Windows. TrickBot часто поставляется в качестве полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей работы, поэтому исправляйте эту уязвимость, прежде чем киберпреступники смогут ею воспользоваться. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать этих подозрительных писем. Найдите время, чтобы обучить своих пользователей тому, как определять вредоносный спам. Обучите себя и своих пользователей созданию надежного пароля. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, которая включает многоуровневую защиту.

https://www.malwarebytes.com/emotet/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • Анализ вредоносных программ: расшифровка Emotet, часть 1
    Анализ вредоносных программ: расшифровка Emotet, часть 2
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2021 PM
    Ботнет Emotet прерван после глобальной операции по удалению

    Инфраструктура самого опасного на сегодняшний день ботнета, созданная киберпреступниками с использованием вредоносного ПО Emotet, была отключена в результате международных скоординированных действий, координируемых Европолом и Евроюстом.

    Совместные усилия правоохранительных органов и властей Нидерландов, Германии, США, Великобритании, Франции, Литвы, Канады и Украины позволили следователям взять под контроль серверы ботнета и нарушить работу вредоносного ПО.

    После глобального расследования судебные органы и правоохранительные органы отключили всю инфраструктуру ботнета изнутри, получив контроль над его серверами в начале этой недели.

    «Инфраструктура, которая использовалась EMOTET, включала несколько сотен серверов, расположенных по всему миру, и все они имели разные функции, чтобы управлять компьютерами зараженных жертв, распространять их на новые, обслуживать другие преступные группы и, в конечном итоге, сделать сеть более устойчивой к попыткам взлома », - пояснил Европол.

    «Зараженные машины жертв были перенаправлены в эту контролируемую правоохранительными органами инфраструктуру. Это уникальный и новый подход, позволяющий эффективно помешать деятельности пособников киберпреступности».

    Вы можете проверить, не был ли ваш адрес электронной почты взломан Emotet и использован для доставки вредоносных писем, используя портал национальной полиции Нидерландов.

    Этот портал поможет вам выполнить поиск в базе данных адресов электронной почты, имен пользователей и паролей, украденных Emotet и обнаруженных ранее на этой неделе Национальной полицией Нидерландов в ходе уголовного расследования, которое привело к сбою ботнета.

    Emotet.jpg

    Самый крупный и опасный ботнет на сегодняшний день

    Вредоносная программа Emotet была впервые обнаружена как банковский троян в 2014 году и превратилась в ботнет, используемый группой угроз TA542 (также известной как Mummy Spider) для развертывания полезных нагрузок вредоносных программ второго уровня.

    Emotet сбрасывает троянские программы QakBot и Trickbot (которые, в свою очередь, развертывают программы-вымогатели Ryuk и Conti) на скомпрометированных компьютерах жертв.

    «Инфраструктура EMOTET, по сути, выступила в качестве основного механизма открытия дверей для компьютерных систем в глобальном масштабе», - добавил Европол.

    «Как только этот несанкционированный доступ был установлен, они были проданы другим высокопоставленным преступным группировкам для дальнейших незаконных действий, таких как кража данных и вымогательство с помощью программ-вымогателей».

    После более чем месячного перерыва ботнет Emotet был возрожден 21 декабря [1, 2], когда Microsoft обнаружила кампанию, доставляющую «широкий спектр приманок в виде огромных объемов электронных писем, использование поддельных ответов или переадресованных писем, защищенные паролем вложения архива ".

    Перед этим коротким перерывом Emotet нацелился на правительства штатов и местные власти США в потенциально целевых кампаниях, согласно октябрьскому сообщению DHS-CISA.

    Высокоактивный ботнет Trickbot также был частично и временно отключен после совместной операции в октябре 2020 года.

    https://www.bleepingcomputer.com/news/security/emotet-botnet-disrupted-after-global-takedown-operation/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Европол: вредоносная программа Emotet удалит себя 25 апреля

    Правоохранительные органы начали распространять на зараженные устройства модуль Emotet, который удалит вредоносное ПО 25 апреля 2021 года.

    Сегодня Европол объявил о прекращении работы печально известного ботнета для рассылки спама Emotet, который использовался для распространения вредоносных вложений спама Word, которые устанавливают такие вредоносные программы, как TrickBot и Qbot.

    Эти атаки обычно приводят к полной компрометации сети зараженных компаний и развертыванию Ryuk и Conti с помощью TrickBot и ProLock или Egregor с помощью Qbot.

    https://www.bleepingcomputer.com/news/security/europol-emotet-malware-will-uninstall-itself-on-april-25th/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2021 PM
    Сегодня вредоносное ПО Emotet атакует себя оружием со всех зараженных компьютеров по всему миру

    Emotet, один из самых опасных ботнетов для спама в электронной почте в новейшей истории, сегодня удаляется со всех зараженных устройств с помощью модуля вредоносного ПО, доставленного в январе правоохранительными органами.

    Удаление ботнета стало результатом действий международных правоохранительных органов, которые позволили следователям взять под контроль серверы Emotet и нарушить работу вредоносного ПО.

    Группа угроз TA542 (также известная как Mummy Spider) использовала Emotet для развертывания вредоносных программ второго уровня, включая QBot и Trickbot, на скомпрометированных компьютерах своих жертв.

    Атаки TA542 обычно приводили к полной компрометации сети и развертыванию полезных нагрузок программ-вымогателей на всех зараженных системах, включая ProLock или Egregor от Qbot, а также Ryuk и Conti от TrickBot.

    Как работает деинсталлятор Emotet

    После операции по уничтожению правоохранительные органы выдвинули новую конфигурацию для активных заражений Emotet, чтобы вредоносная программа начала использовать серверы управления и контроля, контролируемые Bundeskriminalamt, федеральным полицейским агентством Германии.

    Затем правоохранительные органы распространили новый модуль Emotet в виде 32-разрядного файла EmotetLoader.dll на все зараженные системы, которые автоматически удалят вредоносное ПО 25 апреля 2021 года.

    Исследователи безопасности Malwarebytes Жером Сегура и Хашерезад внимательно изучили модуль деинсталляции, поставляемый контролируемыми правоохранительными органами на серверы Emotet.

    После изменения системных часов на тестовой машине для запуска модуля они обнаружили, что он удаляет только связанные службы Windows, автоматически запускает ключи реестра, а затем завершает процесс, оставляя все остальное на скомпрометированных устройствах нетронутым.

    Агентство федеральной полиции Германии за модулем удаления Emotet

    В январе, когда правоохранительные органы отключили Emotet, Европол сообщил BleepingComputer, что федеральное полицейское агентство Германии Bundeskriminalamt (BKA) несет ответственность за создание и продвижение модуля удаления.

    «В рамках уголовно-процессуальных мер, проводимых на международном уровне, Bundeskriminalamt организовал карантин вредоносного ПО Emotet в пораженных компьютерных системах», - сообщили Bleepingcomputer в Bundeskriminalamt.

    В пресс-релизе от 28 января Министерство юстиции США (DOJ) также подтвердило, что Bundeskriminalamt разместил модуль удаления на компьютерах, зараженных Emotet.

    «Иностранные правоохранительные органы, работая в сотрудничестве с ФБР, заменили вредоносное ПО Emotet на серверах, находящихся в их юрисдикции, файлом, созданным правоохранительными органами», - заявило министерство юстиции.

    «Файл правоохранительных органов не устраняет другие вредоносные программы, которые уже были установлены на зараженный компьютер через Emotet; вместо этого он предназначен для предотвращения установки дополнительных вредоносных программ на зараженный компьютер путем отвязывания компьютера жертвы от ботнета».

    Удаление Emotet отложено для сбора дополнительных доказательств

    BleepingComputer в январе сообщил Bundeskriminalamt, что задержка с удалением связана с захватом улик и очисткой компьютеров от вредоносного ПО.

    Идентификация затронутых систем необходима для того, чтобы захватить доказательства и позволить заинтересованным пользователям провести полную очистку системы для предотвращения дальнейших правонарушений. С этой целью параметры связи программного обеспечения были скорректированы таким образом, что системы жертвы больше не взаимодействуют с инфраструктурой преступников, а с инфраструктурой, созданной для сбора доказательств. - Bundeskriminalamt

    https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.