Emotet ponovo aktivan

Posle nekoliko meseci mirovanja, zabeležen skok aktivnosti Emoteta.

Emotet ponovo aktivan

Jedan od najdestruktivnijih malvera, Emotet, ponovo je aktuelan. To ne iznenađuje s obzirom na cikličnu prirodu delovanja Emoteta - nagli skok, a zatim i veiliki pad. Pad se dešava kada IP adrese koje se koriste u kampanjama budu otkrivene i blokirane.

Emotet je aktuelan dugo godina, a konstantna unapređenja su mu omogućila status jednog od omiljenih alata sajber kriminalaca. Oporavak od Emotet infekcije može da bude izuzetno težak zbog njegove modularnosti i sposobnosti da isporuči razne vrste malvera nakon inicijalne infekcije.

Najnovija aktivnost Emoteta

U oktobarskom HP-Bromium izveštaju o pretnjama piše da je zabeležan rast od 1200% u periodu od jula do septembra 2020. u odnosu na prethodna tri meseca.

Symantec je takođe primetio porast Emotet aktivnosti. I njihova istraživanja pokazuju veliki skok aktivnosti između juna i septembra 2020, ali je veliki deo Emotet kampanja blokiran na antispam nivou.

Šta je Emotet?

U pitanju je trojanac koji je prvi put primećen 2014. U početku se koristio za krađu bankarskih kredencijala, a tokom godina doživeo je mnogo iteracija i novih verzija. Ubrzo nakon verzije 1, pojavila se verzija 2 sa funkcionalnostima kao što su transfer novca, malspam itd. Do početka 2015, dobio je i sposobnost izbegavanja AV rešenja.

Autori su u godinama koje su usledile nastavili da dodaju nove funkcionalnosti tako da je Emotet postao neka vrsta modularnog malvera. Zbog modularnosti i praktičnosti za distribuciju, napadači ga često koriste da uđu u ciljno okruženje, odnosno organizaciju.

Glavni vektor infekcije je phishing, odnosno email sa malicioznim linkovima ili macro komandama u Word dokumentima. Kada se pokrene, može da lansira različit malver (payload) u zavisnosti od uređaja koji napada i cilja koji stoji iza napada. Godinama važi za jedan od najtraženijih malvera među sajber kriminalcima različitog profila.

Videli smo brojne napade koji su ostavili ozbiljne posledice, a u kojima je Emotet korišćen. U jednom od njih je u istom incidentu iskorišćen za ubacivanje TrickBot trojanca i Ryuk ransomwara.

Zbog čega je toliko popularan?

Razlog popularnosti pre svega duguje modularnoj arhitekturi koja pruža mogućnost prilagođavanja konkretnom okruženju koje je meta napada, ali i ciljevima, odnosno onome što napadač želi da ukrade. Često ga koriste za ulazak u okruženje i predstavlja dinamički dodatak napadačkom arsenalu sajber kriminalaca.

Takođe, odličan je izbor za napade koji nisu ciljani, odnosno kada napadači žele da zaraze maksimalan broj žrtava. Za to koriste phishing email koji šalju na milione adresa, računajući da će se neko upecati, odnosno kliknuti na maliciozni link ili preuzeti zaraženi fajl.

Autori Emotet malvera prodaju ovaj malver po Malware-as-a-Service modelu. Na taj način, praktično svako, bez velikog znanja, može da započne napad i krađu podataka.

Kako se odbraniti?

Sajber kriminalci koji koriste Emotet najviše ciljaju kompanije. Za zaštitu od Emoteta, ali i drugog malvera preporučuje se da organizacije implementiraju rešenja za filtriranje email sadržaja. Na taj način smanjuje se šansa da se isporuči maliciozni prilog.

Veliki broj sajber napada, pa i onih u kojima se koristi Emotet, eksploatiše poznate ranjivosti. Organizacije takođe treba da redovno patchuju mrežu, jer redovnim ažuriranjem mreže i sistema ovakvi napadi mogu da se osujete.

Emotet najčešće upada u sistem kroz email, odnosno phishing. Zbog toga treba obučiti zaposlene kako da prepoznaju phishing, da ne bi postali žrtve Emoteta i drugog malvera u budućnosti.

Ukoliko se vaša organizacija susretala sa Emotet pretnjom ili često ima problema sa malver napadima, treba da razmislite o tome kako da ojačate njenu bezbednosnu poziciju.

Naša preporuka je Symantec. Symantec pruža zaštitu od Emoteta i malicioznih email priloga koje distribuira u kampanjama na više nivoa:

File-based:

  • ISB.Downloader!gen411
  • W97M.Downloader
  • Trojan.Emotet
  • Trojan.Dridex

Behavior-based

  • Sonar.Emotet

Network-based

  • System Infected: Trojan.Emotet Activity

Email-based Symantec email security proizvodi štite od Emoteta. Symantecova Email Threat Isolation (ETI) tehnologija pruža dodatni nivo zaštite.

Raniji Emotet napadi

Korona virus, Japan i Emotet – Januar 2020.

Emotet je često korišćen u kampanjama koje su eksploatisale aktuelna svetska događanja. Još na početku pandemije korona virusa, napadači su se dosetili da distribuiraju Emotet preko phishing poruka koje sadrže lažna upozorenja i informacije o virusu.

Tokom januara 2020 na udaru su bili korisnici iz Japana. Phishing poruke sa malicioznim atačmentima su distribuirani u formi obaveštenja o situaciji sa korona virusom koja navodno stižu od zvaničnih institucija.

Napomena: Ovo je ažurirana verzija teksta prvobitno objavljenog 29. januara 2020.