Szerző: Itay Bochner
Összefoglaló
Az Emotet neve az utóbbi időben gyakran szerepelt a hírekben, miután hosszú ideig nem volt feltűnő, különösen a széles körben elterjedt zsarolóprogram-támadások és fejlett adathalász-kampányok kapcsán. Ez egy fejlett trójai, amelyet általában e-mail mellékletek és linkek segítségével terjesztenek, amelyekre kattintva elindul a hasznos teher. Az Emotet más kártevők droppereként működik.
Mitől olyan különleges az Emotet, hogy a fenyegető szereplők által használt legnagyobb botnet lett?
Hogy ezt megértsük, kezdjük az elején...
Emotet magyarázat
Az Emotet-et először 2014-ben azonosították, amikor német és osztrák bankok ügyfeleit érintette a trójai. Egyszerű trójai vírusként fejlesztették ki, amely képes érzékeny és személyes adatok ellopására. Ahogy fejlődött, egyre több funkcionalitást kapott, például spammelést és rosszindulatú programok kézbesítését (egy Dropper), amely a számítógép megfertőzése után más rosszindulatú programokat telepített. Általában a következő programokat dobja le:
- TrickBot - Egy banki trójai, amely megpróbál hozzáférni a bankszámlák bejelentkezési adataihoz.
- Ryuk : Ransomware, amely titkosítja az adatokat, és megakadályozza, hogy a számítógép felhasználója hozzáférjen ezekhez az adatokhoz vagy az egész rendszerhez.
Az Emotet féregszerű tulajdonságokkal terjed adathalász e-mail mellékleteken vagy linkeken keresztül, amelyek betöltik az adathalász mellékletet. Megnyitás után az Emotet úgy terjed a hálózaton, hogy kitalálja az adminisztrátori hitelesítő adatokat, és azokat felhasználva távolról ír a megosztott meghajtókra az SMB fájlmegosztási protokoll segítségével, ami lehetővé teszi a támadó számára, hogy oldalirányban mozogjon a hálózaton.
Az US-CISA szerint :
Az Emotet egy fejlett trójai, amely elsősorban adathalász e-mail mellékleteken és linkeken keresztül terjed, amelyekre kattintva elindul a hasznos teher(Phishing: Spearphishing Attachment[T1566.001], Phishing: Spearphishing Link[T1566.002]).A kártevő ezután megpróbál elterjedni a hálózaton belül a felhasználói hitelesítő adatok durva kényszerítésével és a megosztott meghajtókra való írással(Brute Force:T1110.001], Érvényes fiókok: Helyi fiókok[T1078.003], Távoli szolgáltatások: SMB/Windows admin megosztások[T1021.002]).
A fentiek hangsúlyozzák, hogy az Emotet-et miért nehéz megakadályozni, mivel különleges kijátszási technikái és "féregszerű" tulajdonságai lehetővé teszik, hogy önállóan terjedjen a hálózaton belül.
Egy másik fontos jellemzője, hogy az Emotet moduláris DLL-eket (Dynamic Link Libraries) használ, hogy folyamatosan fejlessze és frissítse képességeit.
Legutóbbi tevékenység
Számos jelentés jelezte az Emotet használatának nagymértékű növekedését.
- A HP Inc. legfrissebb adatai szerint a második negyedévtől az idei harmadik negyedévig több mint 1200%-kal nőttek az Emotet trójai vírust használó észlelt támadások, ami a zsarolóvírus-kampányok megugrását támasztja alá.
(https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/) - 2020 júliusa óta a CISA fokozott aktivitást tapasztalt az Emotet-hez kapcsolódó mutatókkal kapcsolatban. Ez idő alatt a CISA EINSTEIN behatolásjelző rendszere, amely a szövetségi, polgári és végrehajtó szervek hálózatait védi, nagyjából 16 000 Emotet-tevékenységgel kapcsolatos riasztást észlelt.
(https://us-cert.cisa.gov/ncas/alerts/aa20-280a) - A Microsoft, Olaszország és Hollandia a múlt hónapban figyelmeztetett az Emotet rosszindulatú spam-aktivitás megugrására, néhány héttel azután, hogy Franciaország, Japán és Új-Zéland is figyelmeztetést adott ki az Emotet miatt.
(https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/) - Az elmúlt hetekben jelentősen több Emotet Malspam
(https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)
Ami egészen egyedülálló az Emotet viselkedésében ebben az új hullámban, az az Emotet spamkampányainak megváltozása, amelyek most már jelszóval védett ZIP-fájlokat is felhasználnak az Office-dokumentumok helyett.
Az ötlet lényege, hogy jelszóval védett fájlok használatával az e-mail biztonsági átjárók nem tudják megnyitni az archívumot, hogy átvizsgálják annak tartalmát, és nem látják az Emotet malware nyomát.
A Palo Alto Networks egy új, az Emotet által használt technikát is közzétett, amelyet Thread Hijackingnek neveznek. Ez egy olyan e-mail támadási technika, amely a fertőzött számítógépek e-mail klienseiből ellopott legitim üzeneteket használja. Ez a Malspam egy legitim felhasználónak adja ki magát, és az ellopott e-mailre adott válasznak adja ki magát. A Thread hijacked Malspam-et az eredeti üzenet címeire küldik.
OPSWAT olyan megelőző megoldásokat kínál, amelyekkel megvédheti szervezetét az Emotet támadásoktól. Megoldásaink segítenek a szervezeteknek megakadályozni, hogy az Emotet bejusson a hálózatokba.
Email Gateway Security megállítja az adathalász-támadásokat
Secure A hozzáférés segít a jogszabályi megfelelőség érvényesítésében
MetaDefender Core a Deep CDR (Content Disarm and Reconstruction) szolgáltatással a fájlfeltöltés biztonsági védelmét biztosítja.
További információért még ma lépjen kapcsolatba velünk.
