После пятимесячного перерыва наиболее агрессивный и вредоносный ботнет Emotet, активно распространявший спам в прошлом году, вновь «вернулся». Последний раз атаки с его использованием были зафиксированы в феврале.
Ботнет, работающий из 3-х отдельных кластеров серверов, известных как Epoch 1, Epoch 2 и Epoch 3, буквально извергает из себя лавину спам-писем, пытаясь внедрить в компьютеры жертв вредоносные программы. В первую очередь бэкдор, устанавливающий программы-вымогатели, трояны для банковского мошенничества и другие неприятные вредоносы.
Еще в начале года Emotet был классифицирован ведущими мировыми специалистами защиты информации как одна из самых стойких и опасных кибер-угроз в мире. Известно о существовании более 30 тысяч вариантов этого ботнета, впервые зарегистрированного в качестве банковского трояна еще в 2014 году. В 2019-м году Emotet был связан с 45% URL-адресами, использовавшимися для загрузки вредоносов.
Emotet - высокоэффективная вредоносная программа, способная загружать и устанавливать ряд дополнительных вредоносов. Именно они и крадут информацию, отправляют электронную почту вс вирусным ПО. Используя взятые под контроль устройства пользователей, Emotet масштабируется по сети для запуска новых атак.
Ботнет отправляет более 250 тысяч сообщений в течение дня. Пока спам-атака направлена в первую очередь на США и Великобританию. Тактика, такая же, как и прежде. Письма в виде бухгалтерских отчетов, уведомлений о доставке или в виде финансовых документов, имеют вложение. В нем и спрятано вредоносное ПО или замаскирована ссылка на файл с вредоносом. При переходе по ней активируется и устанавливается бэкдор Emotet.
Первые признаки возвращения угрозы появились 14 июля. Тогда появилась первая рассылка. А уже в пятницу антивирусные провайдеры Malwarebytes и Microsoft зафиксировали полноценное возрождение Emotet.
Как Emotet достигает своих целей
Emotet доказал, что по изобретательности является одной из самых опасных угроз, появлявшихся в последние годы. Электронные письма с вредоносным ПО часто приходят якобы от человека, с которым жертва уже переписывалась ранее. Сообщения часто соответствуют теме предыдущих писем.
Emotet получает эту информацию, собирая списки контактов жертвы и «просматривая» почтовые ящики зараженных компьютеров.
Подобная техника имеет двойное преимущество:
- Вводит в заблуждение жертву, заставляя думать, что сообщению можно доверять, потому что оно исходит от известного друга, знакомого или делового партнера, который следит за ранее обсуждавшимся вопросом.
- Использование в письмах аутентичного контента также затрудняет спам-фильтрам обнаружение писем, классификацию их как вредоносных.
Еще одним из хитрых трюков Emotet является кража имен пользователей и паролей для исходящих почтовых серверов. Ботнет затем использует учетные данные для отправки почты с этих серверов. Ход хитрый, поскольку в этом случае ботнет не полагается на собственную инфраструктуру. Серверы, к которым пользователь испытывает доверие, отправляют вредоносные сообщения. Такое всегда трудно обнаружить и блокировать.
Бей и беги!
Самый разрушительный ботнет в мире возвращается с украденными паролями и электронной почтой в качестве набора инструментов для взлома. В последний раз, в феврале, Emotet разослал около 1,8 миллионов сообщений.
По данным портала информационной безопасности Darknet.Global, тактика «бей и беги» уже не впервой применяется инициаторами спам-атаки. За короткое время ботнет буквально засыпает пользователей письмами с вредоносом. А затем на месяцы уходит в подполье.
Более того, преступная группа, в очередной раз запустившая Emotet, известна и иными особенностями:
- она делает длительные перерывы между атаками;
- «не работает» по выходным и праздничным дням;
- верные своему принципу «соблюдения трудового законодательства», злоумышленники прекратили атаку 18 июля, в субботу;
- возможно, что такая организация труда позволяет обеспечить наибольшую эффективность атак.
Спам-сообщения Emotet обычно содержат одну строчку текста, которая просит пользователя открыть вредоносный документ под названием «электронная почта» в формате Microsoft Word, PDF-файлы или URL-адреса, содержащие вредоносные файлы Word. Документы Word содержат макросы, которые при активации устанавливают бэкдор Emotet. Бэкдор обычно ждет в течение нескольких дней. После чего запускается сценарий PowerShell, который связывается с различными удаленными веб-сайтами, чтобы загрузить полный набор вредоносного ПО. А затем уже устанавливается или банковский троян TrickBot, или Ryuk ransomware.
Из-за связи с вымогателями, в Германии и Нидерландах все инциденты с Emotet рассматриваются как атаки вымогателей. Компаниям и организациям, обнаружившим зараженный Emotet хост, предлагается изолировать зараженную систему, а всю свою сеть быстро перевести в автономный режим на время расследования инцидента. Это является эффективной мерой предотвращения доставки вредоносного ПО на устройство жертвы.
Emotet - еще одно напоминание о том, что люди должны подозрительно относиться к файлам и ссылкам, полученным по электронной почте. Особенно если они кажутся вырванными из контекста. Например, когда от друга приходит счет.
Люди должны быть вдвойне подозрительны к любому документу Word, который требует включения макросов перед просмотром содержимого. Потребители редко используют макросы без особой на то причины, поэтому основное правило для пользователей ПК - не включать их. Лучшей политикой по-прежнему является открытие непонятных документов Word в Google Docs. Это предотвращает установку любых вредоносных программ на локальный компьютер пользователя.
Источник - https://darknet.global/emotet-spam-vernulsya-nachalis-novye-ataki-na-polzovatelej/
