Autor: Itay Bochner
Rezumat
Numele Emotet a apărut destul de des în știri în ultima vreme, după o lungă perioadă de timp în care a stat sub radar, în special în contextul atacurilor ransomware și al campaniilor avansate de phishing. Este un troian avansat distribuit în mod obișnuit prin intermediul atașamentelor de e-mail și al link-urilor care, odată ce se face clic pe ele, lansează încărcătura utilă. Emotet funcționează ca dropper pentru alte programe malware.
Ce face ca Emotet să fie atât de special încât a devenit cel mai mare botnet folosit de actorii de amenințări?
Pentru a înțelege acest lucru, vom începe de la început...
Emotet Explicat
Emotet a fost identificat pentru prima dată în 2014, când clienții unor bănci germane și austriece au fost afectați de troian. Acesta a fost dezvoltat ca un troian simplu cu capacitatea de a fura informații sensibile și private. Pe măsură ce a evoluat, a căpătat mai multe funcționalități, cum ar fi serviciile de spam și de livrare de programe malware (un Dropper) care, după ce infecta un PC, instala alte programe malware. De obicei, sunt lansate următoarele programe:
- TrickBot - Un troian bancar care încearcă să obțină acces la datele de conectare ale conturilor bancare.
- Ryuk : Un ransomware care criptează datele și blochează accesul utilizatorului calculatorului la aceste date sau la întregul sistem.
Emotet se răspândește cu caracteristici de vierme prin intermediul atașamentelor de e-mail de tip phishing sau al link-urilor care încarcă un atașament de tip phishing. După ce este deschis, Emotet acționează pentru a se răspândi în rețea prin ghicirea credențialelor de administrator și utilizarea acestora pentru a scrie de la distanță pe unități partajate folosind protocolul de partajare a fișierelor SMB, ceea ce îi oferă atacatorului posibilitatea de a se deplasa lateral în rețea.
Conform US-CISA :
Emotet este un troian avansat care se răspândește în principal prin intermediul atașamentelor și link-urilor de phishing care, odată ce se face clic pe ele, lansează încărcătura utilă (Phishing : SpearphishingAttachment[T1566.001], Phishing: Spearphishing Link[T1566.002]).Malware-ul încearcă apoi să prolifereze în cadrul unei rețele prin forțarea brută a acreditărilor de utilizator și prin scrierea pe unități partajate(Brute Force: Password Guessing[T1110.001], Valid Accounts: Local Accounts[T1078.003], Remote Services: SMB/Windows Admin Shares[T1021.002]).
Cele de mai sus subliniază de ce Emotet este dificil de prevenit, din cauza tehnicilor sale speciale de evaziune și a caracteristicilor de tip "vierme" care îi permit să se răspândească lateral în mod autonom în cadrul rețelei.
O altă caracteristică cheie este faptul că Emotet folosește DLL-uri modulare (Dynamic Link Libraries) pentru a evolua și a-și actualiza continuu capacitățile.
Activitate recentă
Au existat numeroase rapoarte care indică o creștere mare a utilizării Emotet
- Atacurile detectate care utilizează troianul Emotet au crescut cu peste 1200% din al doilea trimestru până în al treilea trimestru al acestui an, susținând o creștere a campaniilor de ransomware, conform celor mai recente date furnizate de HP Inc.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - Începând cu iulie 2020, CISA a înregistrat o activitate crescută care implică indicatori asociați cu Emotet. În acest timp, sistemul de detectare a intruziunilor EINSTEIN al CISA, care protejează rețelele federale, civile și ale ramurii executive, a detectat aproximativ 16 000 de alerte legate de activitatea Emotet.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - Microsoft, Italia și Olanda au avertizat luna trecută cu privire la o creștere a activității de spam rău intenționat Emotet, la câteva săptămâni după ce Franța, Japonia și Noua Zeelandă au emis alerte cu privire la Emotet.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - În ultimele săptămâni, am văzut semnificativ mai multe Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)
Ceea ce este destul de unic în comportamentul lui Emotet în timpul acestui nou val este schimbarea campaniilor de spam ale lui Emotet, care acum folosesc, de asemenea, fișiere ZIP protejate prin parolă în loc de documente Office.
Ideea este că, prin utilizarea fișierelor protejate prin parolă, gateway-urile de securitate a e-mailurilor nu pot deschide arhiva pentru a-i scana conținutul și nu vor vedea urmele de malware Emotet din interior.
Palo Alto Networks a publicat, de asemenea, o nouă tehnică folosită de Emotet, numită Thread Hijacking. Aceasta este o tehnică de atac prin e-mail care utilizează mesaje legitime furate din clienții de e-mail ai computerelor infectate. Acest Malspam se substituie unui utilizator legitim și pretinde a fi un răspuns la e-mailul furat. Malspam-ul deturnat este trimis la adresele din mesajul original.
OPSWAT oferă soluții preventive care vă pot apăra organizația împotriva atacurilor cu Emotet. Soluțiile noastre ajută organizațiile să prevină pătrunderea lui Emotet în rețele.
Email Gateway Security oprește atacurile de phishing
Secure Accesul ajută la validarea conformității
MetaDefender Core cu Deep CDR (Content Disarm and Reconstruction) oferă protecție de securitate pentru încărcarea fișierelor utilizând.
Pentru mai multe informații, contactați-ne astăzi.
