Emotet – это вредоносная программа, которая изначально задумывалась как банковский троян, нацеленный на проникновение на устройства пользователей и получение конфиденциальных личных данных. Emotet обладает способностью скрываться от стандартных антивирусных программ. После заражения устройства вредоносная программа ведет себя как компьютерный червь, стремясь проникнуть на другие устройства сети.
В основном Emotet распространяется через спам. В электронном письме содержится вредоносная ссылка или зараженный документ, содержащий макросы. При загрузке документа или переходе по ссылке вредоносная программа автоматически устанавливается на компьютер. Электронные письма, распространяющие Emotet, очень похожи на подлинные.
Emotet впервые обнаружили в 2014 году – троян атаковал клиентов немецких и австрийских банков. Emotet получил доступ к данным клиентов для входа в систему. В последующие годы он смог распространиться по всему миру.
С тех пор Emotet превратился из банковского трояна в дроппер – троянскую программу, загружающую вредоносное ПО, которое затем наносило фактический вред системе. Чаще всего Emotet загружает следующие вредоносные программы:
Самая желанная цель мошенников, использующих Emotet – получить деньги. Они могут угрожать опубликовать зашифрованные данные или никогда не предоставить к ним доступ. Обычно при заражении вирусом Emotet происходит дополнительная загрузка и распространение вредоносного ПО.
Emotet нацелен на частных лиц, компании, организации и государственные органы. В 2018 году в результате заражения вирусом Emotet клинический центр города Фюрстенфельдбрук был вынужден отключить 450 компьютеров и выйти из сети координационного центра неотложной помощи. В сентябре 2019 года пострадал Высший суд Берлина, а в декабре 2019 года – Гиссенский университет.
В числе жертв также оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне. По оценкам, количество пострадавших компаний намного больше. Предполагается, что многие компании не хотят сообщать о заражении из опасения за свою репутацию и риска дальнейших атак.
Сразу после появления Emotet его атакам, в основном, подвергались компании, а теперь он в первую очередь нацелен на частных лиц.
Первое время Emotet находили только на устройствах с последними версиями Windows. Однако в начале 2019 года выяснилось, что компьютеры Apple также подвергались атакам Emotet. Преступники рассылали пользователям поддельные электронные письма от службы поддержки Apple, в которых говорилось, что «компания ограничила доступ к вашей учетной записи». В письме также говорилось, что для предотвращения деактивации и удаления определенных сервисов Apple, необходимо перейти по ссылке.
В основном Emotet распространяется посредством сбора данных в Outlook: читает электронные письма уже зараженных пользователей и создает на их основе мошеннические письма, похожие на подлинные. Такие письма производят впечатление личных, и этим отличаются от обычного спама. Emotet пересылает эти фишинговые письма людям, сохраненным в списке контактов: друзьям, родственникам, коллегам и даже руководству.
Письма обычно содержат зараженный документ Word, который требуется загрузить, или вредоносную ссылку. Поскольку имя отправителя совпадает с именем реального человека, у получателя создается ложное чувство безопасности, как если бы он получил обычное личное письмо, поэтому, скорее всего, он перейдет по вредоносной ссылке или откроет зараженное вложение.
При наличии доступа к сети Emotet может распространяться дальше. При этом для взлома паролей учетных записей он использует метод перебора паролей. Также Emotet может попасть на устройство с операционной системой Windows, используя уязвимости EternalBlue и DoublePulsar, позволяющие устанавливать вредоносное ПО без участия пользователя. В 2017 году троян-вымогатель WannaCry использовал эксплойт EternalBlue для серьезной кибератаки, нанесшей значительный ущерб.
В конце января 2021 года Генеральная прокуратура Франкфурта-на-Майне – центральный офис по борьбе с преступностью в Интернете (CIT) и Федеральное ведомство уголовной полиции (FCO) объявили, что в рамках согласованной международной операции инфраструктура Emotet была «захвачена и уничтожена». В операции были задействованы правоохранительные органы Германии, Нидерландов, Украины, Франции и Литвы, а также Великобритании, Канады и США.
Утверждается, что удалось деактивировать более 100 серверов инфраструктуры Emotet, 17 из которых находились в Германии. Это было только начало. Затем в FCO проанализировали собранные данные и обнаружили другие серверы по всей Европе.
По данным FCO, инфраструктура Emotet была обезврежена и уничтожена. Правоохранительным органам Украины удалось захватить инфраструктуру, а также конфисковать несколько компьютеров, жесткие диски, деньги и золотые слитки. Вся операция координировалась Европолом и Евроюстом – агентством Европейского союза по судебному сотрудничеству в рамках уголовных дел.
В результате получения правоохранительными органами контроля над инфраструктурой Emotet, вредоносное ПО на пострадавших системах в Германии стало непригодным для злоумышленников. Чтобы не позволить злоумышленникам восстановить контроль, вредоносное ПО на пострадавших системах поместили в карантин. Кроме того, параметры соединения вредоносных программ были изменены таким образом, чтобы допустить взаимодействовать только со специально созданной инфраструктурой и исключительно для сохранения доказательств. В ходе этого процесса правоохранительные органы получили информацию о пострадавших системах, в частности, общедоступные IP-адреса, которые затем были переданы в BSI.
Федеральное управление по информационной безопасности (FIS) считает, что «разработчики Emotet сдают свое программное обеспечение и инфраструктуру в пользование третьим лицам». Злоумышленники часто используют другие вредоносные программы в сочетании с Emotet для достижения своих целей. В BSI считают, что мотивы преступников носят финансовый характер и что основную проблему представляет киберпреступность, а не шпионаж.
Похоже, ни у кого нет ответа на вопрос, кто стоит за Emotet. Существует мнение, что исходно Emotet из России или Восточной Европы, но доказательства, подтверждающие это, отсутствуют.
Министерство национальной безопасности США пришло к выводу, что Emotet обладает огромной разрушительной силой и наносит существенный ущерб. Затраты на устранение последствий одного инцидента могут достигать миллиона долларов. Глава Федерального управления по информационной безопасности (FIS) Арне Шёнбом (Arne Schoenbohm) назвал Emotet «королем вредоносных программ».
Вне сомнения, Emotet – одна из самых сложных и опасных вредоносных программ. Она полиморфна, а значит, что ее код немного меняется при каждом обращении к ней. Именно поэтому антивирусам так сложно идентифицировать Emotet – большинство из них использует сигнатуры для поиска угроз. В феврале 2020 года исследователи из компании Binary Defense обнаружили, что целью атак Emotet также могут быть Wi-Fi-сети. При подключении зараженного устройства к беспроводной сети Emotet сканирует другие сети поблизости. Используя список паролей, вредоносная программа пытается подключиться к этим сетям и заразить другие устройства.
Киберпреступники играют на страхе своих жертв. Поэтому не удивительно, что пандемия COVID-19, начавшаяся в декабре 2019 года, сыграла им на руку. Злоумышленники, распространяющие троянские программы, часто подделывают электронные письма, утверждая, что предоставляют информацию о COVID-19 и просвещают население. Увидев такое сообщение, будьте крайне осторожны, особенно если в нем есть вложения или ссылки.
Антивирус не обеспечивает полную защиту от Emotet и других троянских программ. Сам факт обнаружения полиморфной вредоносной программы – это лишь первая из задач конечных пользователей. Проще говоря, не существует решения, гарантирующего стопроцентную защиту от Emotet и других изменяемых троянских программ. Однако предупредительные организационные и технические меры могут снизить риск заражения. Следующие меры предосторожности позволят защититься от Emotet:
Прежде всего, если вы заподозрили, что ваш компьютер может быть заражен Emotet – не паникуйте. Сообщите окружающим о заражении, поскольку лица из вашего списка контактов электронной почты, а также устройства, подключенные к вашей сети, также подвержены риску.
Отключите компьютер от сети, чтобы ограничить распространение Emotet. Затем измените данные для доступа ко всем учетным записям: электронной почты, веб-браузеров и прочим.
Поскольку вредоносная программа Emotet является полиморфной и ее код слегка изменяется при каждом обращении, очищенный компьютер может заразиться повторно при подключении к зараженной сети. Поэтому крайне важно очистить все компьютеры сети. Для этого можно использовать антивирус или обратиться к специалисту, например, к поставщику вашей антивирусной программы.
Японская команда группы CERT (Computer Emergency Response Team) выпустила инструмент EmoCheck, который можно использовать для проверки компьютера на заражение Emotet. Этот инструмент рекомендуется использовать для обнаружения возможного заражения известными версиями Emotet. Однако будьте внимательны, поскольку даже EmoCheck не способен гарантировать стопроцентной защиты из-за полиморфизма Emotet. EmoCheck использует распознавание строк символов, характерных для трояна, что позволяет предупреждать о заражении. Однако изменчивость вредоносной программы не позволяет гарантировать, что ваш компьютер действительно чист.
Троянская программа Emotet – одна из самых опасных вредоносных программ в истории ИТ, от которой пострадали частные лица, компании и даже государственные органы. Как только Emotet проникает в систему, он загружает другие вредоносные программы, получает учетные данные для доступа и шифрует данные. Часто у жертв вредоносной программы требуют выкуп в обмен на возможность вернуть данные. Ни одна программа не гарантирует стопроцентной защиты от заражения Emotet. Однако существуют защитные меры, позволяющие снизить риск заражения. Если вы подозреваете, что ваш компьютер заражен Emotet, необходимо предпринять описанные выше меры, чтобы очистить компьютер от этого трояна.
Статьи по теме:
Шифровальщик LockBit – что нужно знать