Hur blev Emotet världens farligaste skadliga program?

Sammanfattning
  • Från banktrojan till droppare
  • Den “farligaste skadliga programvaran i världen”
  • En massiv och personlig distribution
  • Emotets slut och återkomst

trojansk häst

Efter att ha monterats ned i en operation utförd av flera länder i januari är Emotet tydligen tillbaka. Varför är denna skadliga programvara så fruktad? Vad var hans handlingar innan han greps? Varför ansågs det vara den farligaste skadliga programvaran i världen?

Emotet upptäcktes 2014 och gick igenom flera utvecklingar innan det blev den fruktade och fruktade skadliga programvaran som orsakade förödelse. Det var särskilt anmärkningsvärt för sin förmåga att undvika upptäckt, ständigt förändra sig själv, skaffa information och använda den på ett intelligent sätt i automatiserade kampanjer, såväl som dess användning som en malware-as-a-servicevars tjänster hyrdes ut till andra angripare för att distribuera sin egen skadlig programvara och ransomware.

Från banktrojan till släppa

#VariantDelta

Emotet upptäcktes första gången 2014. Då användes det som en banktrojan främst riktad mot tyska, österrikiska och schweiziska banker. Han nöjde sig med att samla in bankinformation genom att avlyssna internettrafik, innan han snabbt lade till möjligheten att göra automatiska pengaöverföringar till sin arsenal, så att han kunde rikta in sig på kundkonton direkt. Med sin tredje version kunde skadlig programvara förbli dold på system, vilket gjorde det möjligt för den att utöka sitt attackområde.

Men Emotet började verkligen skapa vågor 2017, med utvecklingen av dess användning. Förutom att behålla sin förmåga att hämta information har skadlig programvara blivit det som kallas en släppa. Det kunde nu distribuera ytterligare skadlig programvara. Dess skapare har också lagt till funktioner som gör att den kan bete sig som en datormask. Det spred sig på nätverken till vilka datorerna till dess offer var anslutna och använde råstyrka för att hitta lösenord och komma åt andra system. Sedan dess gick Emotet från en “enkel” banktrojan till ett allvarligt hot.

Den “farligaste skadliga programvaran i världen”

– Så hur blev du framröstad till världens stiligaste man?

I sin nya version användes Emotet på två sätt. Som en klassisk skadlig programvara, för att få ständig tillgång till att hämta känslig information som lösenord, kontaktlistor för e-postadresser, e-postinnehåll och bilagor som skickats av dess offer, och för att fortsätta spridas i nätverket. Men den användes också som malware-as-a-service. När åtkomst väl erhölls kunde Emotet ladda ner och installera annan skadlig kod, i princip att “sälja” den återvunna åtkomsten till andra skadliga aktörer. Medan många olika trojaner har spridits på detta sätt under åren av Emotets aktivitet, var två av dem särskilt använda och fruktade: TrickBot och QBot.

Dessa två banktrojaner har, liksom Emotet, förmågan att röra sig i sidled på ett nätverk och återställa konfidentiell information som ska användas i framtida kampanjer. Men de används också som släppa, denna gång för att distribuera ransomware. TrickBot är känt för att distribuera Ryuk och Conti ransomware, medan Qbot spred ProLock.

I ett nötskal innebar att vara infekterad med Emotet att alla enheter i nätverket kunde äventyras, information samlades upp av både skadlig programvara och de som spreds och ransomware kunde installeras på systemet. Vissa enheter lades till i ett botnät och användes i stora nätfiskekampanjer för att infektera nya maskiner. Vi kan också lyfta fram dess förmåga att undvika upptäckt av antivirusprogram tack vare den ständiga modifieringen av dess kod. Emotet förtjänade därför sitt smeknamn “den farligaste skadliga programvaran i världen”.

En massiv och personlig distribution

– Är familjen okej?
– Det är okej, det är okej, Emotet…

Emotet distribuerades under nätfiskekampanjer, i form av ett Word-dokument, en PDF eller en nedladdning som skulle göras på en webbplats. Från och med april 2019 började skadlig programvara att använda tidigare insamlad information, inklusive e-postrelaterad information, och lanserade aggressiva nätfiskekampanjer, med en teknik som kallas trådkapning. E-post.

Med hjälp av tidigare hämtade kontakter och trådar kunde Emotet automatisera skapandet av mer personliga nätfiske-e-postmeddelanden. Dessa e-postmeddelanden låtsades vara ett svar på en tidigare tråd mellan offret och en av hans kontakter, genom att sätta i brödtexten på e-postmeddelandet de gamla diskussionerna som återhämtades under attacken och behålla samma e-postämne som lades till “Re:” prefix. I vissa fall lades även de gamla bilagorna till för mer legitimitet. Dessa e-postmeddelanden skickades dock inte från den komprometterade e-postadressen utan från angriparnas infrastruktur och adresser som skapats för tillfället och skrivfel.

För att skicka dessa e-postmeddelanden kunde Emotet förlita sig på sitt enorma nätverk av infekterade datorer, vilket gjorde det möjligt för det att genomföra massiva kampanjer med upp till 250 000 meddelanden som skickades per dag, vilket upptäcktes i juli 2020. Både företag och organisationer och individer utsattes för offer, överallt världen.

Emotets slut och återkomst

Emotet: uppståndelser

Den 27 januari 2021 meddelade Europol att man lyckats ta kontroll över Emotet-botnätet tack vare en samordnad internationell åtgärd mellan myndigheterna i flera länder, inklusive Frankrike. Genom att nu styra infrastrukturen förhindrade myndigheterna installationen av ytterligare skadlig programvara och kunde massivt distribuera en ny modul till infekterade datorer för att automatiskt avinstallera Emotet den 25 april 2021.

Men om Emotet hade kunnat stoppas fortsatte TrickBot sin verksamhet. Den 15 september 2021 upptäcktes tecken på förnyad Emotet-aktivitet av Cryptolaemus, en grupp forskare som specialiserat sig på kampen mot skadlig programvara. Den här gången, till skillnad från vad som kan ha gjorts tidigare, används TrickBot för att distribuera en förbättrad version av Emotet och försöka bygga om botnätet. Aktiviteten förblir diskret för tillfället men nya infekterade dokument börjar spridas. Om Emotet-infrastrukturen lyckas byggas om varnar flera specialister, inklusive Vitali Kremez från Advanced Intel, för att ransomware-infektioner sannolikt kommer att öka avsevärt. Den 15 november hade mer än 246 enheter redan infekterats.

Relaterade Artiklar

Back to top button