I ve světě IT bezpečnosti se občas objeví něco pozitivního! Teď například Europol ve spolupráci s řadou dalších institucí (včetně FBI), „rozprášil“ botnet Emotet, který měl prsty v řadě velkých útoků. Je to skoro jako scénář z Terminátora. Stanoven je i přesný termín, kdy se Emotet sám zničí…
Připomeňme, že pod označením botnet si můžeme představit síť zavirovaných počítačů po celém světě, které mohou útočníci vzdáleně ovládat z jednoho místa a bez vědomí jejich uživatelů je zneužívat k další nekalé činnosti.
Byl jednou jeden botnet Emotet…
Vznik „Emotetu“ se datuje k roku 2014, kdy šlo ještě o tzv. banking trojan, tedy havěť, vykrádající přístupové údaje k internetovému bankovnictví. Do současné podoby se dopracoval až v následujících letech, kdy se stal Emotet skvělou platformou pro distribuci další havěti a naplnil tak podstatu pojmu „malware-as-a-service„. „Rozkvět“ mu umožnil systém centrálně řízených aktualizací, takže Emotet byl na již zavirovaných počítačích stále aktuální, ale především moment, kdy skrze něj bylo možné distribuovat další havěť třeba i konkurečních gangů. Za pronájem infrastruktury zavedené botnetí sítě Emotet si nechali její autoři pochopitelně platit. Řada další havěti tak vděčí za popularitu a úspěch právě síti Emotet, přes kterou proběhla distribuce a aktivace této další havěti. Mezi tzv. „second-stage payloads“ se tak objevil například ransomware z rodiny Ryuk, Condi či bankovní trojani Trickbot, Qbot, …
Ransomware Ryuk šifrující data a požadující finanční výkupné, přitom řádil i na území ČR, například v některých nemocnicích. Varování v minulosti vydala i Vládní CERT.
Prošlapal cestu dalším
Havěť Emotet tak připravila vhodné zázemí pro další havěť a úspěch byl postaven na tom, zda se uživatel nechá či nenechá napálit. Vektorem šíření byla elektronická pošta a „oblbovačky“ (ala sociální inženýrství) uživatelů se často motaly okolo problematiky placení faktur či dokladů po splatnosti. V přílohách takových podvodných e-mailů tak byly na první pohled nevinné DOCX dokumenty Wordu s údajnou fakturou.
Po jejich otevření se ale zobrazilo například výše uvedené (toto je poslední evoluce z roku 2020). Pokud uživatel uposlechl instrukce v červené tabulce (ve skutečnosti nešlo o varovný dialog Wordu, ale obsah dokumentu nastajlovaný tak, aby to jako systémový dialog vypadalo), bylo vymalováno. Aktivoval si tím makra a ta na pozadí stáhla havěť Emotet do počítače. Pokračování příběhu již znáte…
A pohádky je konec…
Příběh má ale taky nějaký konec a ten příchází právě teď. Europolu (tisková zpráva včetně hezky zpracovaných souvislostí) a dalším organizacím se podařilo koordinovaně infrastrukturu gangu rozprášit. Zásah proběhl třeba i na Ukrajině a mám tak tu čest po několika letech nalinkovat na viry.cz i nějaké to video z akce 🙂
Terminátor hadr!
Díky bezpečnostnímu expertovi „milkream“ na níže uvedeném Twitter účtu navíc víme, že nad botnetem byla přebrána kontrola! Všechny zavirované počítače, které jsou součástí botnetu Emotet, totiž právě stahují první užitečnou aktualizaci/payload za celou historii. Payload se postará o to, že přesně 25.3.2021 ve 12:00 bude zavolána funkce pro automatickou odinstalaci Emotetu! Ten tak sám sebe zničí. Za tímto stojí German Bundeskriminalamt (BKA), patrně z důvodu, že poslední řídící servery botnetu (C&C) běží právě v Německu.
Prostě Terminátor i s celým Skynetem je proti tomuto hadr 🙂
Otázka je prečo to bude až tak ďaleko 25.3. zatiaľ sa to svinstvo vyblbne na mnohých tisícoch PCčkach
Aby si všechny postižené stroje stáhly bezpečně dezinfekci. Mnohé nejsou připojené trvale k síti.
Podle me, aby se aktualizovalo co nejvice pocitacu. Ne kazdy zapina pecko kazdy den. A tak by nektere neaktualizovane instance mozna prezili…