Operacja była wynikiem wspólnych działań służb w Holandii, Niemczech, Stanach Zjednoczonych, Wielkiej Brytanii, Francji, na Litwie, w Kanadzie i na Ukrainie, a działania międzynarodowe koordynowały Europol i Eurojust. Operacja została przeprowadzona w ramach europejskiej platformy multidyscyplinarnej przeciwko zagrożeniom kryminalnym (EMPACT).
EMOTET był jedną z najbardziej profesjonalnych i działających od dłuższego czasu usług związanych z cyberprzestępczością. Po raz pierwszy odkryty jako trojan bankowy w 2014 r., złośliwe oprogramowanie ewoluowało na przestrzeni lat w kierunku rozwiązania go-to-solution dla cyberprzestępców. Infrastruktura EMOTET zasadniczo działała jako podstawowe narzędzie umożliwiające uzyskanie dostępu do systemów komputerowych na skalę globalną. Po uzyskaniu nieautoryzowanego dostępu, zasoby te były udostępniane innym grupom przestępczym w celu prowadzenia dalszych nielegalnych działań, takich jak kradzież danych i wymuszanie okupu za pomocą oprogramowania ransomware.
Rozprzestrzenianie się za pośrednictwem dokumentów Worda
Grupie EMOTET udało się wprowadzić pocztę elektroniczną jako wektor ataku na wyższy poziom. Poprzez w pełni zautomatyzowany proces, złośliwe oprogramowanie EMOTET było dostarczane do komputerów ofiar za pośrednictwem zainfekowanych załączników do wiadomości e-mail. Aby nakłonić niczego nie podejrzewających użytkowników do otwarcia załączonych plików, wykorzystywano wiele różnych przynęt. W przeszłości kampanie e-mail EMOTET były były dystrybuowane jako faktury, zawiadomienia o wysyłce oraz informacje o COVID-19.
Wszystkie te wiadomości e-mail zawierały złośliwe dokumenty Word, które były dołączane do wiadomości e-mail lub które można było pobrać klikając na link znajdujący się w samej wiadomości e-mail. Gdy użytkownik otworzył jeden z tych dokumentów, mógł zostać poproszony o „włączenie makr”, dzięki czemu złośliwy kod ukryty w pliku Worda był uruchamiany i instalował złośliwe oprogramowanie EMOTET na komputerze ofiary.
Ataki do wynajęcia
EMOTET był czymś znacznie więcej niż tylko złośliwym oprogramowaniem. To, co czyniło EMOTET tak niebezpiecznym, to fakt, że był oferowany do wynajęcia innym cyberprzestępcom w celu zainstalowania na komputerze ofiary różnych rodzajów złośliwego oprogramowania, takich jak trojany bankowe lub ransomware. EMOTET jest uważany za jednego z największych graczy w świecie cyberprzestępczym – był wykorzystywany do infekowania komputerów m.in. przez TrickBot-a i Ryuk-a.
Zakłócenie działania infrastruktury EMOTET-a
Infrastruktura wykorzystywana przez EMOTET obejmowała kilkaset serwerów zlokalizowanych na całym świecie, z których każdy posiadał różne funkcje służące do zarządzania komputerami zainfekowanych ofiar, rozprzestrzeniania się na nowe, obsługi różnych grup przestępczych, a ostatecznie do zwiększenia odporności sieci na próby przejęcia.
Aby poważnie zakłócić działanie infrastruktury EMOTET, organy ścigania połączyły siły w celu stworzenia skutecznej strategii operacyjnej. Efektem tego była akcja z tego tygodnia, w której organy ścigania i organy sądowe przejęły kontrolę nad infrastrukturą i przejęły ją „od środka”. Zainfekowane maszyny ofiar zostały przekierowane do kontrolowanej przez organy ścigania infrastruktury. Jest to unikalne i nowe podejście do skutecznego zakłócania działalności osób zajmujących się wspieraniem cyberprzestępczości.
Jak chronić się przed loaderami
Wiele botnetów, takich jak EMOTET, ma charakter polimorficzny. Oznacza to, że złośliwe oprogramowanie zmienia swój kod za każdym razem, gdy jest wywoływane. Ponieważ wiele programów antywirusowych skanuje komputer w poszukiwaniu znanych kodów złośliwego oprogramowania, zmiana kodu może powodować trudności w jego wykryciu, pozwalając infekcji początkowo pozostać niewykrytą. Połączenie zarówno zaktualizowanych narzędzi bezpieczeństwa cybernetycznego (antywirusów i systemów operacyjnych), jak i świadomości w zakresie bezpieczeństwa cybernetycznego jest niezbędne, aby nie paść ofiarą wyrafinowanych botnetów takich jak EMOTET. Użytkownicy powinni uważnie sprawdzać swoją pocztę elektroniczną i unikać otwierania wiadomości, a zwłaszcza załączników od nieznanych nadawców. Żaden program antywirusowy nie zastąpi rozsądku.
W ramach śledztwa prowadzonego przez holenderską policję w sprawie EMOTET odkryto bazę danych zawierającą adresy e-mail, nazwy użytkowników i hasła skradzione przez EMOTET.
TUTAJ możesz sprawdzić, czy Twój adres e-mail został skompromitowany [http://www.politie.nl/emocheck]
W ramach globalnej strategii naprawczej, w celu zainicjowania powiadamiania poszkodowanych i oczyszczania systemów, informacje zostały rozpowszechnione na całym świecie poprzez sieć tzw. zespołów reagowania na incydenty komputerowe (CERT).
Link2Secure.com posiada zgodę EUROPOL-u na wykorzystywanie materiałów ze strony www.europol.europa.eu w celu zapobiegania cyberprzestępczości, propagowania właściwych zachowań i zwiększania świadomości czytelników portalu w kontekście cyberbezpieczeństwa.
Treści pozyskane ze strony https://www.europol.europa.eu/newsroom/news/world’s-most-dangerous-malware-emotet-disrupted-through-global-action
Tłumaczenie własne redakcji serwisu Link2Secure.com
Czytaj podobne
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot
Raport CERT.PL o incydentach – podsumowanie roku 2021
Emotet powraca i atakuje