Emotet – troian bancar destinat să fure date financiare
Emotet este un fel de malware conceput inițial ca un troian bancar destinat să fure date financiare, dar a evoluat pentru a deveni o amenințare majoră pentru utilizatorii de pretutindeni.
Să vorbim despre malware Emotet
Troianul bancar Emotet a fost identificat pentru prima dată de cercetătorii de securitate în 2014. Emotet a fost conceput inițial ca un malware bancar care a încercat să se strecoare pe computerul dvs. și să fure informații sensibile și private. Versiunile ulterioare ale software-ului au văzut adăugarea de servicii de spam și livrare de malware – inclusiv alți troieni bancari.
Emotet folosește funcționalități care ajută software-ul să se sustragă detectării de către unele produse anti-malware. Emotet folosește capabilități asemănătoare cu viermii pentru a se răspândi pe alte computere conectate. Acest lucru ajută la distribuirea programelor malware. Această funcționalitate a determinat Departamentul de Securitate Internă să concluzioneze că Emotet este unul dintre cele mai costisitoare și mai distructive programe malware, afectând sectoarele guvernamentale și private, persoane fizice și organizații și costând peste 1 milion de dolari pe incident pentru curățare.
Ce este Emotet?
Emotet este un troian care este răspândit în principal prin e-mailuri spam (malspam). Infecția poate să apară fie prin scripturi rău intenționate, fișiere de documente cu macrocomenzi, fie prin link rău intenționat. E-mailurile Emotet pot conține un brand familiar conceput pentru a arăta ca un e-mail legitim. Emotet poate încerca să convingă utilizatorii să facă clic pe fișierele rău intenționate folosind un limbaj tentant despre „Factura dvs.”, „Detalii de plată” sau, eventual, o expediere viitoare de la companii de colete bine cunoscute.
Emotet a trecut prin câteva iterații. Primele versiuni au ajuns ca un fișier JavaScript rău intenționat. Versiunile ulterioare au evoluat pentru a utiliza documente macro-activate pentru a prelua sarcina utilă a virusului de pe serverele de comandă și control (C&C) rulate de atacatori.
Emotet folosește o serie de trucuri pentru a încerca să prevină detectarea și analiza. În special, Emotet știe dacă rulează într-o mașină virtuală (VM) și va rămâne inactiv dacă detectează un mediu cu nisip, care este un instrument pe care cercetătorii îl utilizează pentru a observa malware-ul într-un spațiu sigur și controlat.
Emotet folosește și servere C&C pentru a primi actualizări. Acest lucru funcționează la fel ca actualizările sistemului de operare de pe computer și se poate întâmpla fără probleme și fără semne exterioare. Acest lucru permite atacatorilor să instaleze versiuni actualizate ale software-ului, să instaleze programe malware suplimentare, cum ar fi alți troieni bancari, sau să acționeze ca un teren de gunoi pentru informații furate, cum ar fi acreditări financiare, nume de utilizator și parole și adrese de e-mail.
Cum se răspândește Emotet?
Metoda principală de distribuție pentru Emotet este prin malspam. Emotet vă răscolește lista de contacte și se trimite prietenilor, familiei, colegilor și clienților. Întrucât aceste e-mailuri provin din contul dvs. de e-mail deturnat, e-mailurile arată mai puțin ca spam, iar destinatarii, care se simt în siguranță, sunt mai înclinați să facă clic pe adrese URL și să descarce fișiere infectate.
Dacă este prezentă o rețea conectată, Emotet se răspândește folosind o listă de parole obișnuite, ghicindu-și drumul către alte sisteme conectate într-un atac cu forță brută. Dacă parola pentru serverul de resurse umane foarte important este pur și simplu „parolă”, atunci probabil că Emotet își va găsi drumul acolo.
Cercetătorii au crezut inițial că Emotet s-a răspândit și folosind vulnerabilitățile EternalBlue / DoublePulsar, care au fost responsabile pentru atacurile WannaCry și NotPetya. Știm acum că nu este cazul. Ceea ce i-a condus pe cercetători la această concluzie a fost faptul că TrickBot, un troian răspândit deseori de Emotet, folosește exploatarea EternalBlue pentru a se răspândi într-o anumită rețea. TrickBot, nu Emotet, profita de vulnerabilitățile EternalBlue / DoublePulsar.
Care este istoria lui Emotet?
Identificat pentru prima dată în 2014, Emotet continuă să infecteze sistemele și să rănească utilizatorii până în prezent, motiv pentru care vorbim în continuare despre asta, spre deosebire de alte tendințe din 2014 (Ice Bucket Challenge anyone?).
Versiunea 1 a Emotet a fost concepută pentru a fura detaliile contului bancar prin interceptarea traficului de internet. La scurt timp după aceea, a fost detectată o nouă versiune a software-ului. Această versiune, denumită versiunea două Emotet, a fost livrată cu mai multe module, inclusiv un sistem de transfer de bani, un modul malspam și un modul bancar care viza băncile germane și austriece.
„Versiunile actuale ale troianului Emotet includ posibilitatea de a instala alte programe malware pe mașinile infectate. Acest malware poate include și alți troieni bancari sau servicii de livrare de spam. ”
Până în ianuarie 2015, o nouă versiune a Emotet a apărut pe scenă. Versiunea a treia conținea modificări stealth concepute pentru a menține malware-ul zburând sub radar și a adăugat noi ținte bancare elvețiene.
Avans rapid către 2018 – noile versiuni ale troianului Emotet includ posibilitatea de a instala alte programe malware pe mașinile infectate. Acest malware poate include alți troieni și ransomware. De exemplu, o grevă Emotet din iulie 2019 la Lake City, Florida a costat orașului 460.000 de dolari în plăți ransomware, potrivit Gizmodo. O analiză a grevei a constatat că Emotet a servit doar ca vector de infecție inițială. Odată infectat, Emotet a descărcat un alt troian bancar cunoscut sub numele de TrickBot și ransomware-ul Ryuk.
După ce a mers relativ liniștit pentru cea mai mare parte a anului 2019, Emotet a revenit puternic. În septembrie 2019, Malwarebytes Labs a raportat o campanie de spam bazată pe botnet, care vizează victimele germane, poloneze, italiene și engleze, cu subiecte formulate în mod inteligent, cum ar fi „Sfaturi pentru remiterea plăților” și „Factură restantă”. Deschiderea documentului Microsoft Word infectat inițiază un macro, care la rândul său descarcă Emotet de pe site-uri WordPress compromise.
Pe cine vizează Emotet?
Toată lumea este o țintă pentru Emotet. Până în prezent, Emotet a lovit persoane fizice, companii și entități guvernamentale din Statele Unite și Europa, furând date de conectare bancare, date financiare și chiar portofele Bitcoin.
Un atac Emotet demn de remarcat asupra orașului Allentown, PA, a necesitat ajutor direct din partea echipei de răspuns la incidente a Microsoft pentru a face curățenie și ar fi costat orașul mai mult de 1 milion de dolari pentru a fi reparat.
Acum că Emotet este folosit pentru a descărca și livra alți troieni bancari, lista țintelor este potențial și mai largă. Primele versiuni ale Emotet au fost folosite pentru a ataca clienții bancari din Germania. Versiunile ulterioare ale Emotet au vizat organizații din Canada, Marea Britanie și Statele Unite.
„Un atac Emotet demn de remarcat asupra orașului Allentown, PA, a solicitat ajutor direct de la echipa de răspuns la incidente a Microsoft pentru a face curățenie și, conform informațiilor, ar fi costat orașul să depășească 1 milion de dolari.”
Cum mă pot proteja de Emotet?
Faceți deja primul pas către protejarea dvs. și a utilizatorilor dvs. de Emotet, aflând cum funcționează Emotet. Iată câțiva pași suplimentari pe care îi puteți face:
- Păstrați computerul / punctele finale actualizate cu cele mai recente patch-uri pentru Microsoft Windows. TrickBot este adesea livrat ca o sarcină utilă Emotet secundară și știm că TrickBot se bazează pe vulnerabilitatea Windows EternalBlue pentru a-și face treaba murdară, deci remediați această vulnerabilitate înainte ca infractorii cibernetici să poată profita de ea.
- Nu descărcați atașamente suspecte sau faceți clic pe un link cu aspect umbrit. Emotet nu poate obține acea poziție inițială în sistemul sau rețeaua dvs. dacă evitați aceste e-mailuri suspecte. Faceți-vă timp pentru a vă educa utilizatorii cu privire la modul de detectare a spamului.
- Educați-vă pe dvs. și pe utilizatorii dvs. despre crearea unei parole puternice. În timp ce participați, începeți să utilizați autentificarea cu doi factori.
- Vă puteți proteja pe dvs. și utilizatorii dvs. de Emotet cu un program robust de securitate cibernetică, care include protecție pe mai multe straturi. Afacerea Malwarebytes și produsele premium de consum detectează și blochează Emotet în timp real.
Cum pot elimina Emotet?
Dacă bănuiți că ați fost deja infectat de Emotet, nu vă speriați. Dacă computerul dvs. este conectat la o rețea – izolați-l imediat. Odată izolat, procedați la corecția și curățarea sistemului infectat. Dar încă nu ai terminat. Datorită modului în care Emotet se răspândește în rețeaua dvs., un computer curat poate fi re-infectat atunci când este conectat din nou la o rețea infectată. Curățați fiecare computer din rețeaua dvs. unul câte unul. Este un proces obositor, dar soluțiile de afaceri Malwarebytes îl pot ușura, izolând și remediind punctele finale infectate și oferind protecție proactivă împotriva viitoarelor infecții cu Emotet.
Dacă știința este jumătate din luptă, mergeți la Malwarebytes Labs și puteți afla mai multe despre modul în care Emotet evită detectarea și cum funcționează codul Emotet.