Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Duży cios Europolu w botnet Emotet – przejęli jego infrastrukturę. Wymusili również automatyczną dezinstalację z zainfekowanych komputerów (25. marca 2021)
Organy ścigania na całym świecie zakłóciły w tym tygodniu jeden z największych botnetów ostatniej dekady – Emotet. Śledczy przejęli kontrolę nad jego infrastrukturą w ramach skoordynowanej akcji międzynarodowej. Operacja ta jest wynikiem wspólnych wysiłków władz Holandii, Niemiec, Stanów Zjednoczonych, Wielkiej Brytanii, Francji, Litwy, Kanady i Ukrainy, a koordynacją zajmował się Europol i Eurojust.
Fragment z akcji na Ukrainie:
Czym jest Emotet ?
Emotet został po raz pierwszy zaobserwowany w 2014 roku, kiedy malware zaatakowało klientów niemieckich i austriackich banków. W następnych latach skala zagrożenia stała się globalna. Zagrożenie z czasem ewoluowało w usługę dla innych cyberprzestępców – za odpowiednią opłatą, przestępcy odpowiedzialni za botnet instalowali i uruchamiali inne złośliwe oprogramowanie, na zainfekowanych już Emotetem urządzeniach . Znana jest z “wpuszczania” na urządzenie zagrożeń takich jak Ryuk ransomware, TrickBot oraz Qakbot. Emotet był dystrybuowany głównie drogą mailową, przez złośliwe dokumenty z tzw. “makrami”, których uruchomienie skutkowało infekcją.
Przykładowy wygląd dokumentu z złośliwym “makrem”
Emotet posiadał wiele ciekawych “modułów”, takich jak chociażby rozpylanie przez WiFi. Posiadał również moduł wykorzystujący dostęp do naszego maila, w celu rozsyłania spamu z złośliwą zawartością
Jeśli chcecie sprawdzić, czy wasz e-mail był wykorzystywany do rozsyłania tego typu spamu, to ta strona wam to umożliwi.
Utylizacja Emoteta
Jak informuje również jeden z badaczy bezpieczeństwa, organy ścigania po przejęciu kontroli nad botnetem, dodały kod, którego zadaniem jest usunięcie zagrożenia z urządzeń ofiar.
Podsumowanie
Choć jest to z pewnością dobra informacja, to nie możemy zapomnieć o tym, że potencjalną “lukę” na rynku prędzej czy później ktoś wypełni, a zagrożenia instalowane przez Emotet takie Ryuk czy Qakbot dalej pozostają w grze…
–Jakub Bielaszewski
Pytanie czemu nie usunęli od razu emoteta z zainfekowanych komputerów tylko czekają do 25marca z wykonaniem kodu autodestrukcji
Ciężko tak na gorąco powiedzieć. Choć na pewno chcą to przetestować – tak żeby jednym pstryczkiem np. nie rozwalić wszystkich komputerów gdzie on siedzi ;)
Ale bur***. Oj przepraszam :) bałagan … heh :)
Od razu przestałem otrzymywać spam na o2 i WP (3 konta) – było tego w porywach łącznie nawet 50-60 dziennie. Ciagle pisały do mnie Bronisławy, Stanisławy, Wiesławy i inne (erotyka, finanse i inne naciągactwa). Przez ponad 24 godziny był spokój, ale znowu zaczynam dostawać ten sam spam, ale tylko kilka email dziennie. Widocznie jeszcze nie wszystkie komputery-zombie zostały „przekierowane” do serwerów odpowiednio skonfigurowanych przez organy ścigania.
Tak a propos uparcie zgłaszam spam do spamcop’a, więc chyba troszkę pomogłem w tym uniszkodliwieniu botnetu :)
Spam to nie tylko od Emoteta, natomiast myślę że drastycznie spadnie % maili z dokumentami gdzie proszą nas o uruchomienie makra. Osoby pracujące jako analitycy malware też się ucieszą, bo przynajmniej może coś nowego, a nie ciągle ten „emotet” ;p
Ilośc spamu zaczyna wracać do „normy”. Albo nie dostaję go od Emoteta, albo podnieśli się po nokaucie…
Za szybko się ucieszyłem…