Что такое Emotet?
Emotet – это вредоносная программа, которая изначально задумывалась как банковский троян, нацеленный на проникновение на устройства пользователей и получение конфиденциальных личных данных. Emotet обладает способностью скрываться от стандартных антивирусных программ. После заражения устройства вредоносная программа ведет себя как компьютерный червь, стремясь проникнуть на другие устройства сети.
В основном Emotet распространяется через спам. В электронном письме содержится вредоносная ссылка или зараженный документ, содержащий макросы. При загрузке документа или переходе по ссылке вредоносная программа автоматически устанавливается на компьютер. Электронные письма, распространяющие Emotet, очень похожи на подлинные.
Термин Emotet
Emotet впервые обнаружили в 2014 году – троян атаковал клиентов немецких и австрийских банков. Emotet получил доступ к данным клиентов для входа в систему. В последующие годы он смог распространиться по всему миру.
С тех пор Emotet превратился из банковского трояна в дроппер – троянскую программу, загружающую вредоносное ПО, которое затем наносило фактический вред системе. Чаще всего Emotet загружает следующие вредоносные программы:
- Trickbot – банковский троян, который стремится получить данные для доступа к банковским счетам.
- Ryuk – троян-шифровальщик, также известный как крипто-троян или программа-вымогатель; шифрует данные, не позволяя компьютеру пользователя получить доступ к этим данным, или блокирует всю систему.
Самая желанная цель мошенников, использующих Emotet – получить деньги. Они могут угрожать опубликовать зашифрованные данные или никогда не предоставить к ним доступ. Обычно при заражении вирусом Emotet происходит дополнительная загрузка и распространение вредоносного ПО.
На кого нацелен троян Emotet?
Emotet нацелен на частных лиц, компании, организации и государственные органы. В 2018 году в результате заражения вирусом Emotet клинический центр города Фюрстенфельдбрук был вынужден отключить 450 компьютеров и выйти из сети координационного центра неотложной помощи. В сентябре 2019 года пострадал Высший суд Берлина, а в декабре 2019 года – Гиссенский университет.
В числе жертв также оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне. По оценкам, количество пострадавших компаний намного больше. Предполагается, что многие компании не хотят сообщать о заражении из опасения за свою репутацию и риска дальнейших атак.
Сразу после появления Emotet его атакам, в основном, подвергались компании, а теперь он в первую очередь нацелен на частных лиц.
Какие устройства атакует Emotet?
Первое время Emotet находили только на устройствах с последними версиями Windows. Однако в начале 2019 года выяснилось, что компьютеры Apple также подвергались атакам Emotet. Преступники рассылали пользователям поддельные электронные письма от службы поддержки Apple, в которых говорилось, что «компания ограничила доступ к вашей учетной записи». В письме также говорилось, что для предотвращения деактивации и удаления определенных сервисов Apple, необходимо перейти по ссылке.
Как распространяется троян Emotet
В основном Emotet распространяется посредством сбора данных в Outlook: читает электронные письма уже зараженных пользователей и создает на их основе мошеннические письма, похожие на подлинные. Такие письма производят впечатление личных, и этим отличаются от обычного спама. Emotet пересылает эти фишинговые письма людям, сохраненным в списке контактов: друзьям, родственникам, коллегам и даже руководству.
Письма обычно содержат зараженный документ Word, который требуется загрузить, или вредоносную ссылку. Поскольку имя отправителя совпадает с именем реального человека, у получателя создается ложное чувство безопасности, как если бы он получил обычное личное письмо, поэтому, скорее всего, он перейдет по вредоносной ссылке или откроет зараженное вложение.
При наличии доступа к сети Emotet может распространяться дальше. При этом для взлома паролей учетных записей он использует метод перебора паролей. Также Emotet может попасть на устройство с операционной системой Windows, используя уязвимости EternalBlue и DoublePulsar, позволяющие устанавливать вредоносное ПО без участия пользователя. В 2017 году троян-вымогатель WannaCry использовал эксплойт EternalBlue для серьезной кибератаки, нанесшей значительный ущерб.
Уничтожение инфраструктуры Emotet
В конце января 2021 года Генеральная прокуратура Франкфурта-на-Майне – центральный офис по борьбе с преступностью в Интернете (CIT) и Федеральное ведомство уголовной полиции (FCO) объявили, что в рамках согласованной международной операции инфраструктура Emotet была «захвачена и уничтожена». В операции были задействованы правоохранительные органы Германии, Нидерландов, Украины, Франции и Литвы, а также Великобритании, Канады и США.
Утверждается, что удалось деактивировать более 100 серверов инфраструктуры Emotet, 17 из которых находились в Германии. Это было только начало. Затем в FCO проанализировали собранные данные и обнаружили другие серверы по всей Европе.
По данным FCO, инфраструктура Emotet была обезврежена и уничтожена. Правоохранительным органам Украины удалось захватить инфраструктуру, а также конфисковать несколько компьютеров, жесткие диски, деньги и золотые слитки. Вся операция координировалась Европолом и Евроюстом – агентством Европейского союза по судебному сотрудничеству в рамках уголовных дел.
В результате получения правоохранительными органами контроля над инфраструктурой Emotet, вредоносное ПО на пострадавших системах в Германии стало непригодным для злоумышленников. Чтобы не позволить злоумышленникам восстановить контроль, вредоносное ПО на пострадавших системах поместили в карантин. Кроме того, параметры соединения вредоносных программ были изменены таким образом, чтобы допустить взаимодействовать только со специально созданной инфраструктурой и исключительно для сохранения доказательств. В ходе этого процесса правоохранительные органы получили информацию о пострадавших системах, в частности, общедоступные IP-адреса, которые затем были переданы в BSI.
Кто стоит за Emotet?
Федеральное управление по информационной безопасности (FIS) считает, что «разработчики Emotet сдают свое программное обеспечение и инфраструктуру в пользование третьим лицам». Злоумышленники часто используют другие вредоносные программы в сочетании с Emotet для достижения своих целей. В BSI считают, что мотивы преступников носят финансовый характер и что основную проблему представляет киберпреступность, а не шпионаж.
Похоже, ни у кого нет ответа на вопрос, кто стоит за Emotet. Существует мнение, что исходно Emotet из России или Восточной Европы, но доказательства, подтверждающие это, отсутствуют.
Emotet – крайне опасная вредоносная программа>
Министерство национальной безопасности США пришло к выводу, что Emotet обладает огромной разрушительной силой и наносит существенный ущерб. Затраты на устранение последствий одного инцидента могут достигать миллиона долларов. Глава Федерального управления по информационной безопасности (FIS) Арне Шёнбом (Arne Schoenbohm) назвал Emotet «королем вредоносных программ».
Вне сомнения, Emotet – одна из самых сложных и опасных вредоносных программ. Она полиморфна, а значит, что ее код немного меняется при каждом обращении к ней. Именно поэтому антивирусам так сложно идентифицировать Emotet – большинство из них использует сигнатуры для поиска угроз. В феврале 2020 года исследователи из компании Binary Defense обнаружили, что целью атак Emotet также могут быть Wi-Fi-сети. При подключении зараженного устройства к беспроводной сети Emotet сканирует другие сети поблизости. Используя список паролей, вредоносная программа пытается подключиться к этим сетям и заразить другие устройства.
Киберпреступники играют на страхе своих жертв. Поэтому не удивительно, что пандемия COVID-19, начавшаяся в декабре 2019 года, сыграла им на руку. Злоумышленники, распространяющие троянские программы, часто подделывают электронные письма, утверждая, что предоставляют информацию о COVID-19 и просвещают население. Увидев такое сообщение, будьте крайне осторожны, особенно если в нем есть вложения или ссылки.
Как защититься от трояна Emotet?
Антивирус не обеспечивает полную защиту от Emotet и других троянских программ. Сам факт обнаружения полиморфной вредоносной программы – это лишь первая из задач конечных пользователей. Проще говоря, не существует решения, гарантирующего стопроцентную защиту от Emotet и других изменяемых троянских программ. Однако предупредительные организационные и технические меры могут снизить риск заражения. Следующие меры предосторожности позволят защититься от Emotet:
- Следите за новостями в сфере информационной безопасности, в частности, связанными с Emotet. Доступными источниками новостей могут быть, например, рассылки BSI, рассылки «Лаборатории Касперского» или собственное исследование.
- Обновления безопасности. Обязательно устанавливайте предоставляемые производителями обновления сразу после их выхода, чтобы устранить возможные уязвимости системы безопасности. Это касается как операционных систем Windows и macOS, так и всех приложений, браузеров и их расширений, почтовых клиентов, программ Microsoft Office и PDF-редакторов.
- Антивирус. Обязательно установите антивирусную программу, например, Kaspersky Internet Security, и регулярно проверяйте компьютер на наличие уязвимостей. Это обеспечит защиту даже от продвинутого вредоносного и шпионского ПО и других онлайн угроз.
- Не открывайте сомнительные вложения и не переходите по подозрительным ссылкам из писем. Если вы не уверены, является ли электронное письмо поддельным, не рискуйте – свяжитесь с его предполагаемым отправителем. Если при загрузке файла будет предложено разрешить выполнение макросов, не делайте этого ни при каких обстоятельствах. Вместо этого немедленно удалите файл. При соблюдении этих правил Emotet не попадет на ваш компьютер.
- Резервное копирование. Регулярно выполняйте резервное копирование данных на внешний носитель. В случае заражения всегда будет доступна резервная копия данных, следовательно, данные с вашего компьютера не будут утеряны.
- Пароли. Используйте надежные пароли для всех учетных записей (в банковских приложениях, электронной почте и интернет-магазинах). Кличка вашей собаки не подойдет, а вот случайный набор букв, цифр и специальных символов – то, что нужно. Пароль можно придумать самостоятельно или создать с помощью менеджера паролей. Кроме того, многие программы позволяют настроить двухфакторную аутентификацию.
- Расширения файлов. Убедитесь, что расширения файлов по умолчанию отображаются на вашем компьютере. Это поможет распознать подозрительные файлы, например, Vacation snap123.jpg.exe.
Как удалить Emotet?
Прежде всего, если вы заподозрили, что ваш компьютер может быть заражен Emotet – не паникуйте. Сообщите окружающим о заражении, поскольку лица из вашего списка контактов электронной почты, а также устройства, подключенные к вашей сети, также подвержены риску.
Отключите компьютер от сети, чтобы ограничить распространение Emotet. Затем измените данные для доступа ко всем учетным записям: электронной почты, веб-браузеров и прочим.
Поскольку вредоносная программа Emotet является полиморфной и ее код слегка изменяется при каждом обращении, очищенный компьютер может заразиться повторно при подключении к зараженной сети. Поэтому крайне важно очистить все компьютеры сети. Для этого можно использовать антивирус или обратиться к специалисту, например, к поставщику вашей антивирусной программы.
EmoCheck – есть ли польза?
Японская команда группы CERT (Computer Emergency Response Team) выпустила инструмент EmoCheck, который можно использовать для проверки компьютера на заражение Emotet. Этот инструмент рекомендуется использовать для обнаружения возможного заражения известными версиями Emotet. Однако будьте внимательны, поскольку даже EmoCheck не способен гарантировать стопроцентной защиты из-за полиморфизма Emotet. EmoCheck использует распознавание строк символов, характерных для трояна, что позволяет предупреждать о заражении. Однако изменчивость вредоносной программы не позволяет гарантировать, что ваш компьютер действительно чист.
Заключение
Троянская программа Emotet – одна из самых опасных вредоносных программ в истории ИТ, от которой пострадали частные лица, компании и даже государственные органы. Как только Emotet проникает в систему, он загружает другие вредоносные программы, получает учетные данные для доступа и шифрует данные. Часто у жертв вредоносной программы требуют выкуп в обмен на возможность вернуть данные. Ни одна программа не гарантирует стопроцентной защиты от заражения Emotet. Однако существуют защитные меры, позволяющие снизить риск заражения. Если вы подозреваете, что ваш компьютер заражен Emotet, необходимо предпринять описанные выше меры, чтобы очистить компьютер от этого трояна.
Следующие решения безопасности обеспечивают защиту от троянов, вирусов и программ-вымогателей
Статьи по теме:
Шифровальщик LockBit – что нужно знать
Что такое Emotet?
Kaspersky
