Emotet malware: „Izveštaj o mojoj smrti je bio preuveličan“

Verovatno ste već videli medijske naslove: „Emotet se vratio!“ – Kao što skoro sigurno znate, a možda ste, nažalost, iskusili iz prve ruke, Emotet je opšti termin koji se obično odnosi i na porodicu “command-and-control” malvera, kao i na bandu koja je kontrolor ove porodice malvera.

Ideja je jednostavna: umesto da pravite jednonamenski malver program za svaki napad i da ga sami pokrenete, zašto ne biste predvodili napad pomoću agenta za malver opšte namene koji se odaziva kući da prijavi njegov dolazak i čeka dalja uputstva?

U popularnoj terminologiji, ta vrsta malvera se često naziva zombi ili bot, skraćeno od softverskog robota, i kolekcija botova sa istim serverima za komandu i kontrolu (u žargonu poznatim kao C&C ili C2 serveri), pod istim botmasterima, poznat je kao botnet.

Emotet, međutim, nije bio samo bot. Za mnoge sistemske administratore i osobe koje reaguju na pretnje, to je bio bot, kojim je upravljala notorno otporna i odlučna kriminalna banda koja je upravljala svojim botnet-om kao uznemirujuće efikasnom mrežom za isporuku sadržaja za sajber kriminal.

Lanac napada lanca napada

Uobičajeni Emotet lanac napada se obično odvijao u više faza, otprilike ovako:

1. Emotet prvo, da bi formirali plato u vašoj mreži;
2. Prati ga Trickbot ili neki drugi zlonamerni softver koji prati mrežu da nauči, pljačka, hakuje, podešava, rekonfiguriše i manipuliše vašim računarskim posedom sve dok prevaranti koji stoje iza krađe i nadzora ne saznaju onoliko koliko su smatrali da treba da znaju (ili zarade toliko novca kako su mislili da mogu, ili oboje);
3. Sledi konačna, apokaliptična eksplozija ransomvare-a i povezana, verovatno neverovatno skupa, ucenjivačka potražnja.

U februaru 2021. pisali smo:

The [Emotet crew] typically use the zombies under their control as a sort of content delivery network for other cybercriminals, offering what amounts to a pay-to-play service for malware distribution.

The Emotet gang does the tricky work of building booby-trapped documents or web links, picking enticing email themes based on hot topics of the day, and tricking victims into infecting themselves…

…and then sells on access to infected computers to other cybercriminals so that those crooks don’t have to do any of the initial legwork themselves.

Taj citat potiče iz članka pod naslovom „Emotet uklonjenjen – Evropol napada najopasniji malver na svetu„.

Sve je tiho na Emotet frontu

Od tada, Emotet ekosistem, ako možemo da upotrebimo tu reč da ga opišemo, u suštini je van radara, tih i nevidljiv.

Ali kao što smo spomenuli u februaru 2021. godine, ista banda je utihnula i u februaru 2020, da bi se iznenada ponovo pojavila u julu te godine.

I, prema trenutnim izveštajima, nešto slično se ponovo dogodilo. Istraživači širom sveta su primetili povratak „Emotet-like“ aktivnosti, i objavili da je izveštaj o njegovoj smrti bio je preterivanje.

Šta raditi?

Uvek smo rado izveštavali o uklanjanju zlonamernog softvera, havarijama sajber kriminala i drugim poremećajima koji su uklonili ili smanjili sajber-kriminal, ali uvek smo savetovali da se previše ne opuštate kada se pojavi takva vrsta izveštaja.

Evo i naših saveta. Bez obzira na to da li je ovo „oživljavanje“ Emoteta od strane istih kriminalca koji su se vratili na aktivnu dužnost ili novi regruti; da li se radi o starom kodu zlonamernog softvera ili ponovo napisanoj varijanti; da li novi botnet ima iste ciljeve ili još agresivnije:

• Stari zlonamerni softver retko umire. Ponekad, kao što se desilo sa floppy disk boot sector virusima, porodice zlonamernog softvera bivaju uništene tehnološkim promenama. Ali istina je da kada se tehnika pojavi i za koju se zna da funkcioniše, čak i skromno dobro, neko novi će je verovatno kopirati, ponovo koristiti ili oživeti. Dakle, živimo sa zbirom pretnji iz prošlosti, kao i sa svim istinski novim alatima, tehnikama i procedurama koje dolaze.
• Nemojte se fokusirati na pojedinačne porodice malvera ili tipove malvera kada planirate svoju zaštitu. Emotet je možda dobro poznat, ali njegov način rada je uveliko kopiran u mnogim, možda i većini, napadima malvera ovih dana, a ovaj način rada je u upotrebi od kada je malver prvi put počeo da zarađuje novac. U izvesnom smislu, početna infekcija malverom kao što je Emotet je kraj jednog lanca napada, jer sam po sebi ne sadrži specifične alate za malver kao što su kradljivaci lozinki, keyloggeri, kriptomajneri ili ransomare scrambleri. Ali to je takođe početak čitavog novog lanca napada, spremnog da primi i primeni „ažuriranja“ ili „dodatke“ – nove uzorke malvera koji mogu varirati tokom vremena, u zavisnosti od regiona, tipa računara žrtve ili jednostavno po volji command-and-control kriminalaca.
• Razmislite o upravljanom odgovoru na pretnje (MTR). Ako nemate vremena ili stručnosti da sami pratite kriminal na ili protiv vaše mreže, MTR usluga vam može pomoći da osigurate da sve napade koje otkrijete otklonite do njihovog osnovnog uzroka. Ponekad ovo može biti slaba lozinka ili server bez zakrpe, ali često se svodi na „beachhead“ malver kao što je Emotet. Ako pronađete i uklonite samo kraj lanca napada, ali ostavite ulaznu tačku na mestu, onda će vas komandno-kontrolni prevaranti iza tog malvera jednostavno prodati sledećem sajbergangu koji je spreman da plati traženu cenu.