Emotet – это вредоносная программа, которая изначально задумывалась как банковский троянец. С ее помощью злоумышленники получают доступ к конфиденциальным данным на чужих устройствах. Emotet известен тем, что умеет обманывать базовые антивирусы так, что те не могут его распознать. После загрузки программа ведет себя, как компьютерный червь, стремясь проникнуть на другие устройства сети.
В основном троянец распространяется через спам. В электронном письме содержится вредоносная ссылка или зараженный документ. При загрузке документа или переходе по ссылке зловред автоматически устанавливается на компьютер. Поддельные письма практически не отличаются от обычных, поэтому жертвами Emotet стали многие пользователи.
Emotet впервые обнаружили в 2014 году – троянец атаковал клиентов немецких и австрийских банков. С его помощью злоумышленники получали доступ к учетным данным пользователей. В последующие годы зловред захватил весь мир.
Затем Emotet эволюционировал из банковского троянца в дроппер, который устанавливал другие вредоносные программы на устройства. Эти программы и наносили фактический вред системе.
Чаще всего Emotet загружал следующее вредоносное ПО.
Самая желанная цель мошенников, использующих Emotet, – это чужие деньги. Например, преступники могут угрожать публикацией украденных данных для получения выкупа.
Emotet нацелен как на отдельных пользователей, так и на компании, организации и государственные учреждения. В 2018 году 450 компьютеров больницы города Фюрстенфельдбрук (Германия) заразились Emotet. Чтобы остановить эпидемию, пришлось отключить устройства и выйти из системы спасательно-координационного центра. В сентябре и декабре 2019 года пострадали апелляционный суд Берлина и Гисенский университет. Также в числе жертв оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне.
Это лишь несколько примеров. Считается, что реальное число жертв гораздо больше – предположительно, многие организации побоялись предавать огласке инцидент, чтобы защитить репутацию.
Важно отметить, что если поначалу Emotet в основном атаковал компании и организации, то сегодня жертвами все чаще становятся отдельные пользователи.
Первое время Emotet находили только на устройствах с последними версиями Windows. Но в начале 2019 года стало известно, что компьютеры Apple также подвержены атакам. Злоумышленники отправляли потенциальным жертвам письма, выдавая себя за сотрудников службы поддержки Apple. Они грозили «ограничить доступ к учетной записи» при отсутствии ответа. Жертвам сообщалось, что необходимо перейти по указанной в письме ссылке, чтобы отменить деактивацию и удаление сервисов Apple.
В основном Emotet распространяется при помощи сбора данных в Outlook. Троянец читает электронную переписку на уже зараженных устройствах и создает похожие сообщения для обмана пользователей. Поддельные письма сложно отличить от настоящих – этим они отличаются от обычного спама. Emotet рассылает фишинговые письма контактам жертвы: друзьям, членам семьи и коллегам.
Чаще всего в таких письмах содержится зараженный документ Word, который получатель скачивает на компьютер, или вредоносная ссылка. Поскольку имя отправителя совпадает с именем реального человека, адресат уверен, что получил подлинное письмо. В большинстве инцидентов жертвы переходили по опасной ссылке или загружали зараженный документ.
Получив доступ к сети, Emotet стремится проникнуть на другие устройства. Троянец пытается взломать учетные записи методом перебора паролей. Также Emotet может попасть на устройство с Windows посредством эксплойта EternalBlue и уязвимости DoublePulsar. В таких случаях вредоносное ПО устанавливается без участия пользователя. В 2017 году программа-вымогатель WannaCry использовала эксплойт EternalBlue в масштабной и разрушительной кибератаке.
По данным Федерального управления по информационной безопасности Германии (BSI),
«разработчики Emotet передают свое программное обеспечение и инфраструктуру третьим лицам на правах субаренды».
Злоумышленники часто используют другие вредоносные программы в сочетании с Emotet для достижения своих целей. По мнению BSI, их интересуют деньги, поэтому атаки считаются киберпреступлениями, а не шпионажем. Сегодня все еще неизвестно, кто является создателем Emotet. Ходят разные слухи о стране происхождения программы, но точных сведений нет.
Сотрудники Министерства внутренней безопасности США пришли к выводу, что Emotet – чрезвычайно разрушительная и дорогая программа. Затраты на устранение последствий одного инцидента могут достигать миллиона долларов Поэтому глава BSI Арне Шёнбом (Arne Schoenbohm) считает этого троянца «королем вредоносного ПО».
Вне всяких сомнений, Emotet – одна из самых сложных и опасных вредоносных программ. Она полиморфна. Это значит, что ее код немного меняется каждый раз, когда к ней обращаются.
Именно поэтому антивирусам так сложно идентифицировать Emotet – большинство из них использует сигнатуры для поиска угроз. В феврале 2020 года ИБ-исследователи из Binary Defense обнаружили, что целью атак Emotet могут быть Wi-Fi-сети. При подключении зараженного устройства к беспроводной сети Emotet сканирует другие Wi-Fi сети поблизости. Используя список паролей, программа пытается подключиться к этим сетям и заразить другие устройства.
Киберпреступники играют на страхе своих жертв. Поэтому нет ничего удивительного в том, что пандемия коронавируса, начавшаяся в декабре 2019 года, сыграла им на руку. Преступники пишут поддельные электронные письма, в которых якобы содержится полезная информация о коронавирусе. Увидев такое сообщение, будьте крайне осторожны, особенно если в нем есть файлы или ссылки.
Антивирус не может на 100% защитить от таких троянцев, как Emotet. Обнаружение полиморфной программы – лишь первый шаг в борьбе с ней. На сегодняшний день не существует решения, которое обеспечило бы полную защиту от Emotet и других постоянно меняющихся троянцев. Только приняв организационные и технические меры, можно свести к минимуму риск заражения.
Если вам кажется, что ваш компьютер заражен Emotet, – не поддавайтесь панике. Предупредите об этом всех, с кем общаетесь по электронной почте, поскольку они находятся в зоне риска.
Отключите компьютер от сети, чтобы ограничить распространение троянца. Затем поменяйте пароли для всех учетных записей (в электронной почте, браузерах и т. д.). Но делайте это на устройстве, которое точно не заражено и не подключено к зараженной сети.
Поскольку Emotet – полиморфный зловред (т. е. его код немного меняется каждый раз, когда к нему обращаются), очищенный компьютер может тут же подхватить троянца повторно при подключении к зараженной сети. Поэтому крайне важно один за другим очистить все компьютеры сети. В этом вам поможет антивирус. Еще вы можете обратиться за помощью в службу поддержки вашего поставщика защитного ПО.
Группа экстренного реагирования на инциденты (CERT) из Японии выпустила EmoCheck – инструмент, способный, по заверению разработчиков, обнаружить Emotet на зараженном компьютере. Но даже EmoCheck не гарантирует стопроцентной защиты из-за полиморфизма троянца.
Инструмент может выявить типичные цепочки символов и предупредить о потенциальном заражении троянцем. Однако изменчивость Emotet не позволит сказать наверняка, что компьютер чист.
Emotet – одна из самых опасных вредоносных программ в истории ИБ. Ее жертвами могут стать отдельные пользователи, компании и даже международные организации. Попав в систему, троянец запускает на компьютере другое (шпионское) ПО.
От жертв Emotet часто требуют выкуп, обещая вернуть украденные данные. Ни одна программа не гарантирует стопроцентной защиты от этого зловреда. Тем не менее можно снизить риск заражения.
Воспользуйтесь нашими советами, если вам кажется, что компьютер заражен Emotet. Для максимальной безопасности используйте комплексные защитные решения, такие как продукты «Лаборатории Касперского».
Статьи по теме: