Emotet - одна из самых стойких и опасных кибер-угроз в мире на сегодняшний день. Согласно последним статистическим данным, существует более 30 000 вариантов этого ботнета, который впервые был замечен как банковский троян еще в 2014 году. В прошлом году Emotet был связан с 45% URL-адресов, которые использовались для загрузки вредоносных программ. Согласно данным с публичного сервиса Any.Run, который позволяет запускать вредоносные программы в песочнице для их последующего анализа, Emotet был самой распространенной вредоносной программой в 2019 году. Фактически, он был использован в ряде атак шифровальщиков, которые потрясли мир информационной безопасности в 2019 году.
Emotet бьет по ООН
После трехнедельного перерыва, в течение которого ботнет не проявлял никаких признаков активности, 13 января Emotet вернулся к своим кампаниям по рассылке вредоносного спама. В то время как электронные письма, которые обычно отправляет ботнет, пытаются выглядеть как бухгалтерские отчеты, уведомления о доставке или финансовые документы, операторы Emotet подготовили нечто особенное для Организации Объединенных Наций (ООН).
В результате этой целенаправленной атаки пострадало до 600 адресов электронной почты, на которые были отправлены электронные письма якобы от представительства Норвегии при Организации Объединенных Наций в Нью-Йорке. В письме утверждалось, что возникла проблема с ранее подписанным соглашением, которое было приложено к письму.
При открытии этого документа появляется предупреждение, что «документ доступен только для настольных или портативных версий Microsoft Office Word», а потому для просмотра документа необходимо нажать на кнопку «Включить редактирование» или «Включить содержимое». Если пользователь следует этим инструкциям, то в документе Word запускается вредоносный макрос, который загружает и устанавливает Emotet. После этого ботнет начинает работать в фоновом режиме, отправляя спам-письма другим жертвам.
Установка Emotet – это еще не конец
После того, как Emotet был установлен на компьютере, то, как правило, неизменно устанавливается одна из вредоносных программ – троян TrickBot. Эта троянская программа предназначена для сбора таких данных, как файлы cookie, учетные данные или файлы с зараженных компьютеров. Он также может попытаться перейти с одного компьютера на другой для распространения инфекции.
После того как троян собрал требуемую информацию, TrickBot открывает реверсную консоль для операторов шифровальщика Ryuk. С помощью этой консоли операторы Ryuk могут проникнуть в сеть, получить администраторские права и развернуть Ryuk для шифрования всех устройств в сети.
Ботнет, который может адаптироваться
Такой способ работы ботнета является доказательством того, что кибер-преступники способны непрерывно развиваться и совершенствовать свои «изделия». Emotet не довольствуется использованием одного и того же шаблона электронной почты для всех своих потенциальных жертв: он адаптируется, как мы видели в рассматриваемом случае. Другие версии электронных писем Emotet, которые были замечены, - это приглашения на вечеринку по случаю Хеллоуина, на рождественскую вечеринку или на демонстрацию против изменения климата.
Не становитесь следующей жертвой Emotet
Тот факт, что такая международная организация как ООН пострадала от попыток заражения с помощью Emotet, демонстрирует масштабы этого ботнета. Вот почему так важно для любой компании, которая хочет защитить свою информационную безопасность, предпринять требуемые шаги для того, чтобы не стать следующей жертвой Emotet.
Сотрудники, как правило, являются самым слабым звеном в цепочке информационной безопасности. Вот почему так важно научить их распознавать фишинговые письма, которые могут содержать не только вредоносные программы, но и могут привести к BEC-аферам и другим видам мошенничества. На самом деле, по данным Verizon, 93% нарушений данных начинаются с фишинговой атаки, а 95% всех кибер-атак на корпоративные сети происходят из фишинговых писем. Более того, необходимо заставлять сотрудников не открывать вложения, которые могут заразить всю сеть организации.
Еще одной важной мерой защиты от такого рода сложных угроз являются решения в области информационной безопасности. Panda Adaptive Defense имеет технологию, специально разработанную для обнаружения этого банковского трояна. «Важно иметь в виду, что без расширенной защиты клиент будет заражен», - говорит Педро Урия, Директор антивирусной лаборатории PandaLabs.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.