Malware-ul Emotet a fost blocat printr-o serie de acțiuni globale

O acțiune multinațională a afectat infrastructura botnetului Emotet prin obținerea controlului a sute de servere, relatează Europol. Anchetatorii au preluat controlul asupra infrastructurii sale printr-o acțiune internațională coordonată. Această operațiune a fost rezultatul colaborării mai multor state printre care Germania, SUA, UK, Franța, Lituania, Canada și Ucraina, iar activitatea internațională a fost coordonată de Europol și Eurojust.

EMOTET a fost descoperit prima dată ca troian bancar în 2014, care ulterior a evoluat și a devenit tot mai complex. Inițial a acționat ca un door opener pentru pentru computere la scară largă. Odată ce accesul a fost stabilit, a fost vândut altor grupuri de atacatori pentru furtul de date.

Răspândire prin documente Word

Grupul Emotet a folosit o campanie de phishing complet automatizată pentru a trimite email-uri. Mesajele conțineau documente Word malițioase, fie atașate la e-mail, fie descărcabile printr-un link din conținutul email-ului. Odată ce un utilizator deschide un astfel de document i se solicita să activeze macrocomenzile urmând ca malware-ul EMOTET să se instaleze pe sistemul victimei.

Atacuri de ”închiriat”

Ulterior Emotet a fost oferit spre închiriere altor hackeri pentru a instala alte tipuri de malware, cum ar fi troieni bancari sau ransomware pe computerul victimei. Acest tip de atac se numește loader și se spune că Emotet este unul dintre cei mai mari ”jucători” ai lumii cibernetice, deoarece alți distribuiitori de malware precum TrickBot și Ryuk au beneficiat de acesta.

Infrastructura Emotet

Infrastructura utilizată de Emotet a implicat câteva sute de servere situate în întreaga lume, toate acestea având funcționalități diferite pentru a gestiona computerele infectate, pentru a se răspândi în altele noi, pentru a servi altor grupuri infracționale și pentru a face în cele din urmă rețeaua mai rezistentă împotriva încercărilor de contracarare a acțiunilor malițioase.

Pentru a combate această organizație autoritățile au preluat controlul asupra infrastructurii. Mașinile infectate ale victimelor au fost redirecționate către această infrastructură controlată de autorități. Această metodă de abordare este unică și nouă, destinată să perturbe în mod eficient activitățile atacatorilor.

Cum să vă protejați

Multe rețele bot precum Emotet sunt de natură polimorfă. Asta însemnă că malware-ul își schimbă codul de fiecare dată când este rulat. Deoarece multe programe antivirus scanează computerul pentru a găsi codurile malware cunoscute, modificarea codului poate cauza dificultăți în detectarea acestuia. O combinație a instrumentelor de securitate actualizate  și a conștientizării securității cibernetice este esențială pentru a evita infectarea cu un botnet precum Emotet. Utilizatorii ar trebui să își verifice cu atenție e-mailul și să evite deschiderea mesajelor și în special a atașamentelor de la expeditori necunoscuți.

Sursa: https://www.europol.europa.eu

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică