Emotet je ponovo aktivan, koristi strah od korona virusa

Kao i obično, osnova za Emotet kampanje su aktuelne globalne teme.

Emotet je ponovo aktivan, koristi strah od korona virusa

Jedan od najdestruktivnijih malvera ponovo je u žiži. To ne iznenađuje s obzirom na cikličnu prirodu delovanja Emoteta - nagli skok, a zatim i veiliki pad kada IP adrese koje se iznova koriste budu otkrivene i blokirane. Najnovije kampanje su interesantne kada se posmatraju kroz prizmu njegove globalne popularnosti, odnosno meta koje bira i obima napada koje izvodi. Zbog svega ovoga američka CISA i druge institucije su izdale upozorenje. Pored američkih meta, Emotet ovih dana koristi situaciju sa korona virusom kako bi napao korisnike u Japanu.

Korona virus, Japan i Emotet

Emotet je često korišćen u kampanjama koje su eksploatisale aktuelna svetska događanja. U jeku globalne epidemije korona virusa, napadači su se dosetili da distribuiraju Emotet preko phishing poruka koje sadrže lažna upozorenja i informacije o virusu. Trenutno su na udaru korisnici iz Japana. Phishing poruke sa malicioznim atačmentima se distribuiraju u formi obaveštenja o situaciji sa korona virusom koja navodno stižu od zvaničnih institucija.

Cybereason tim je primetio dramatičan rast aktivnosti Emoteta u proteklih nekoliko meseci. Napadi koji su primećeni prošle nedelje počeli su sa skoro 750.000 poruka dnevno. Ukoliko želite dodatnu zaštitu, možete preuzeti besplatan alat Emotet-Locker koji štiti Windows uređaje od određenih verzija ovog malvera.

Šta je Emotet?

U pitanju je trojanac koji je prvi put primećen 2014. U početku se koristio za krađu bankarskih kredencijala, a tokom godina doživeo je mnogo iteracija i novih verzija. Ubrzo nakon verzije 1, pojavila se verzija 2 sa funkcionalnostima kao što su transfer novca, malspam itd. Do početka 2015, dobio je i sposobnost izbegavanja AV rešenja.

Autori su u godinama koje su usledile nastavili da dodaju nove funkcionalnosti tako da je Emotet postao neka vrsta modularnog malvera. Zbog modularnosti i praktičnosti za distribuciju, napadači ga često koriste da uđu u ciljno okruženje, odnosno organizaciju. Glavni vektor infekcije je phishing, odnosno email sa malicioznim linkovima ili macro komandama u Word dokumentima. Kada se pokrene, može da lansira različite malvere (payload) u zavisnosti od uređaja koji napada i cilja koji stoji iza napada. Godinama važi za jedan od najtraženijih malvera među sajber kriminalcima različitog profila.

Videli smo brojne napade koji su ostavili ozbiljne posledice, a u kojima je Emotet korišćen. Jedan od poslednjih je kada je u istom incidentu iskorišćen za ubacivanje TrickBot trojanca i Ryuk ransomwara.

Zbog čega je toliko popularan?

Razlog popularnosti pre svega duguje modularnoj arhitekturi koja pruža mogućnost prilagođavanja konkretnom okruženju koje je meta napada, ali i ciljevima, odnosno onome što napadač želi da ukrade. Često ga koriste za ulazak u okruženje i predstavlja dinamički dodatak napadačkom arsenalu sajber kriminalaca.

Takođe, odličan je izbor za napade koji nisu ciljani, odnosno kada napadači žele da zaraze maksimalan broj žrtava. Za to koriste phishing email koji šalju na milione adresa, računajući da će se neko upecati, odnosno kliknuti na maliciozni link ili preuzeti zaraženi fajl.

Autori Emotet malvera prodaju ovaj malver po M-a-a-S modelu. Na taj način, praktično svako, bez velikog znanja, može da započne napad i krađu podataka.

Ko je trenutno na meti?

Pored Japana kao najnovije mete, pojačana Emotet aktivnost usmerena je na vojne, federalne i državne (.gov) domene u SAD-u. Napadači su kompromitovali veći broj naloga zaposlenih u ovim sektorima. Slične napade na javni sektor Emotet je izveo i prethodne godine, kada je meta bio Berlin, a uspeli su da ukradu određene osetljive podatke.

Kako se odbraniti?

Cybereason predlaže nekoliko koraka za odbijanje Emotet napada:

  1. Onemogućete macro u grupnoj polisi organizacije ili upozorite korisnike da ih onemoguće.

  2. Blokirajte pokretanje izvršnih fajlova iz temp foldera u grupnoj polisi organizacije.

  3. Promenite kredencijale na email nalozima svih pogođenih korisnika. Obučite korisnike kako da ne postanu žrtve phishinga u budućnosti.

Emotet je aktuelan dugo godina, a konstantna unapređenja su mu omogućila da status jednog od omiljenih alata sajber kriminalaca. Oporavak od uspešne Emotet infekcije može biti izuzetno težak zbog njegove modularnosti i sposobnosti da isporuči razne vrste malvera nakon inicijalne infekcije. Ukoliko se niste susreli sa ovom pretnjom ranije, nije loše da razmislite o tome kako da ojačate bezbednosnu poziciju svoje organizacije.

Izvor: Cybereason

Bleeping Computer