Az Europol bejelentette, hogy a rendvédelmi és igazságügyi hatóságoknak világszerte sikerült megfékezni az évtized egyik legjelentősebb botnetjét, az EMOTET-et. A műveletet Hollandiában, Németországban, az Egyesült Államokban, az Egyesült Királyságban, Franciaországban, Kanadában és Ukrajnában működő hatóságok közös eredménye, melyet az Europol és az Eurojust koordinált.
Mi az EMOTET?
Az Emotet az egyik legprofibb és legkitartóbb számítógépes kártevő, lényegében egy moduláris banki trójai program, amely legelőször 2014-ben jelent meg. Eredeti célja a banki hitelesítő adatok ellopása volt, majd a kártevő az évek során a kiberbűnözők kedvelt eszközévé vált, és úgy fejlesztették tovább letölthető modulok révén, hogy a rosszindulatú program a banki adatok ellopása mellett a számítógépes rendszerek elsődleges ’kapunyitójaként’ működött globális szinten. A jogosulatlan hozzáférést követően, az ott talált adatokat például ransomware (zsarolóvírus) támadásokra használták, vagy eladták őket egy felsőbb szintű bűnözői csoportnak.
Károkozás tekintetében az egyik legköltségesebb és legpusztítóbb kártevők közé tartozik, amely kormányzati-, magán-, és pénzügyi szektort egyaránt céloz meg. 2019-ben az egyik legelterjedtebb fenyegetésnek számított a világban. A botnet rendkívüli rejtőzködőképességekkel rendelkezik. Sok botnet, mint amilyen az Emotet is polimorf jellegű. Ez azt jelenti, hogy képes dinamikusan megváltoztatni önmagát, de a kód funkciója változatlan marad. Ezáltal még a legerősebb biztonsági megoldásokat nyújtó szoftvereket is képes megkerülni.
Az Emotet sokkal több pusztán rosszindulatú programnál. Ami az Emotet-et igazán veszélyessé tette, az az, hogy a programot bérbeadták más kiberbűnözők számára, hogy azok más típusú rosszindulatú programokat telepítsenek az áldozat gépére.
Kezdetben az Emotet által okozott fertőzéseket csak a Microsoft Windows operációs rendszer újabb verzióiban fedezték fel. 2019 elején azonban ismertté vált, hogy az Apple gyártmányú számítógépeket is érinti az Emotet.
Hogyan működik az EMOTET?
Az Emotet csoportjának sikerült az e-mailes támadásokat egy új szintre emelni. Teljesen automatizált folyamat révén az e-mailek csatolmányába helyezték az Emotet rosszindulatú programot (malware), és különböző csalikat használtak arra, hogy a gyanútlan felhasználókat rávegyék a dokumentum megnyitására. Például hamis e-mail címről küldött telefonszámlával, szállítási értesítéssel, vagy az utóbbi időben a COVID-19-re hivatkozva. A csatolmány általában egy Word dokumentumot tartalmaz, esetleg az e-mailben egy linket. Amint a felhasználó megnyitja a dokumentumot, arra kéri, hogy engedélyezze a makrókat, ami a Microsoft Word egy beépített funkciója, és már bent is van a gépünkben a támadó.
Hogyan lehet védekezni ellene?
Az Emotet és más trójaiak elleni védelem során nem elég kizárólag víruskereső programokra támaszkodni. A polimorf vírus kimutatása csak az első lépés a végfelhasználók számára. Egyszerűen nincs olyan megoldás, amely 100% -os védelmet nyújtana az Emotet vagy más, folyamatosan változó trójaiak ellen. Csak szervezési és technikai intézkedések meghozatalával minimalizálható a fertőzés kockázatát. A felhasználóknak gondosan ellenőrizniük kell az e-mail-jeiket és óvatosan eljárni az ismeretlen feladótól származó üzenetekkel, különös tekintettel a mellékletek megnyitásával.
Hogyan sikerült megfékezni?
Az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA) szerint a művelet csaknem két évet vett igénybe az Emotet infrastruktúrájának feltérképezése érdekében. Az EMOTET által használt infrastruktúra világszerte 700 szervert tartalmazott, amelyek mindegyike különböző funkciókkal rendelkezett: a fertőzött áldozatok számítógépeinek kezelése, további terjesztésre, más bűnözői csoportok kiszolgálására stb.
A malware kiiktatására a különböző bűnüldöző szervek összefogtak egy hatékony stratégia kidolgozása érdekében. Ennek eredményeképpen a rendvédelmi és igazságügyi hatóságok megszerezték az infrastruktúra feletti irányítást és belülről fékezték meg az Emotet-et. A megfertőzött gépeket átirányították a rendfenntartás által őrzött infrastruktúra felé megakadályozva ezzel a további kizsákmányolást. Ez egy egyedülálló megközelítésnek számít, amely eredményesen megzavarta a kiberbűnözök tevékenységét. Mindemellett a holland rendőrség kiadott egy tájékoztatót, amiben az esetlegesen kompromittált e-mail-címek, felhasználónevek és jelszavak ellenőrizhetők.
