Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Duży cios Europolu w botnet Emotet – przejęli jego infrastrukturę. Wymusili również automatyczną dezinstalację z zainfekowanych komputerów (25. marca 2021)

27 stycznia 2021, 22:33 | W biegu | komentarzy 6

Organy ścigania na całym świecie zakłóciły w tym tygodniu jeden z największych botnetów ostatniej dekady – Emotet. Śledczy przejęli kontrolę nad jego infrastrukturą w ramach skoordynowanej akcji międzynarodowej. Operacja ta jest wynikiem wspólnych wysiłków władz Holandii, Niemiec, Stanów Zjednoczonych, Wielkiej Brytanii, Francji, Litwy, Kanady i Ukrainy, a koordynacją zajmował się Europol i Eurojust.

Fragment z akcji na Ukrainie:

Czym jest Emotet ?

Emotet został po raz pierwszy zaobserwowany w 2014 roku, kiedy malware zaatakowało klientów niemieckich i austriackich banków. W następnych latach skala zagrożenia stała się globalna. Zagrożenie z czasem ewoluowało w usługę dla innych cyberprzestępców – za odpowiednią opłatą, przestępcy odpowiedzialni za botnet instalowali i uruchamiali inne złośliwe oprogramowanie, na zainfekowanych już Emotetem urządzeniach . Znana jest z “wpuszczania” na urządzenie zagrożeń takich jak Ryuk ransomware, TrickBot oraz Qakbot. Emotet był dystrybuowany głównie drogą mailową, przez złośliwe dokumenty z tzw. “makrami”, których uruchomienie skutkowało infekcją. 

Przykładowy wygląd dokumentu z złośliwym “makrem”

Grafika wykonana przez Europol podsumowująca możliwości botnetu oraz sposoby dystrybucji.

Emotet posiadał wiele ciekawych “modułów”, takich jak chociażby rozpylanie przez WiFi. Posiadał również moduł wykorzystujący dostęp do naszego maila, w celu rozsyłania spamu z złośliwą zawartością

Jeśli chcecie sprawdzić, czy wasz e-mail był wykorzystywany do rozsyłania tego typu spamu, to ta strona wam to umożliwi.

Utylizacja Emoteta

Jak informuje również jeden z badaczy bezpieczeństwa, organy ścigania po przejęciu kontroli nad botnetem, dodały kod, którego zadaniem jest usunięcie zagrożenia z urządzeń ofiar.

Podsumowanie

Choć jest to z pewnością dobra informacja, to nie możemy zapomnieć o tym, że potencjalną “lukę” na rynku prędzej czy później ktoś wypełni, a zagrożenia instalowane przez Emotet takie Ryuk czy Qakbot dalej pozostają w grze…

–Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    Pytanie czemu nie usunęli od razu emoteta z zainfekowanych komputerów tylko czekają do 25marca z wykonaniem kodu autodestrukcji

    Odpowiedz
    • Ciężko tak na gorąco powiedzieć. Choć na pewno chcą to przetestować – tak żeby jednym pstryczkiem np. nie rozwalić wszystkich komputerów gdzie on siedzi ;)

      Odpowiedz
  2. Ale bur***. Oj przepraszam :) bałagan … heh :)

    Odpowiedz
  3. Marek

    Od razu przestałem otrzymywać spam na o2 i WP (3 konta) – było tego w porywach łącznie nawet 50-60 dziennie. Ciagle pisały do mnie Bronisławy, Stanisławy, Wiesławy i inne (erotyka, finanse i inne naciągactwa). Przez ponad 24 godziny był spokój, ale znowu zaczynam dostawać ten sam spam, ale tylko kilka email dziennie. Widocznie jeszcze nie wszystkie komputery-zombie zostały „przekierowane” do serwerów odpowiednio skonfigurowanych przez organy ścigania.

    Tak a propos uparcie zgłaszam spam do spamcop’a, więc chyba troszkę pomogłem w tym uniszkodliwieniu botnetu :)

    Odpowiedz
    • Autor

      Spam to nie tylko od Emoteta, natomiast myślę że drastycznie spadnie % maili z dokumentami gdzie proszą nas o uruchomienie makra. Osoby pracujące jako analitycy malware też się ucieszą, bo przynajmniej może coś nowego, a nie ciągle ten „emotet” ;p

      Odpowiedz
      • Marek

        Ilośc spamu zaczyna wracać do „normy”. Albo nie dostaję go od Emoteta, albo podnieśli się po nokaucie…

        Za szybko się ucieszyłem…

        Odpowiedz

Odpowiedz