Цивилизация
На протяжении шести последних лет опасный вирус, получивший название Emotet, атаковал компьютеры по всему миру. Впоследствии из зловредного трояна, нацеленного на клиентов банков, он эволюционировал в вирус-загрузчик, который проникал в систему жертвы с целью установки в нее другого вредоносного программного обеспечения.
Затем Emotet стал целой сетью зараженных устройств, или ботнетом, с помощью которого злоумышленники осуществляли хакерские атаки ради похищения персональных данных и вымогательства. Зачастую жертва получала зараженный файл Microsoft Word, после открытия которого ей предлагалось активировать макросы. Эта безобидная на взгляд функция, встроенная в программу, фактически выдавала злоумышленникам ключи от всей системы.
Европол опубликовал в своем Twitter-аккаунте видео, в котором описывает весь процесс заражения с помощью Emotet.
How did Emotet infect its unsuspecting victims? Twitter
— Europol (@Europol) January 27, 2021
Полицейская служба Европейского союза считала Emotet «самым опасным вирусом в интернете».
Теперь же вредоносному ботнету пришел конец, сообщает портал Gizmodo. Правоохранительные органы из США, Канады, Великобритании, Нидерландов, Германии, Франции, Литвы и Украины обезвредили Emotet.
В рамках операции «Божья коровка» полиции удалось взять под свой контроль административно-командную инфраструктуру зараженной сети, которая располагалась в более чем 90 странах мира.
Кроме того, одновременно с этим украинские правоохранители задержали двух участников киберпреступной группировки, использовавших Emotet в своих операциях.
На видео, опубликованном Национальной полицией Украины, можно увидеть, как у предполагаемых операторов Emotet изымаются компьютерное оборудование, деньги, а также золотые слитки. Как заявили власти страны, личности других членов международной хакерской группировки, использовавшей инфраструктуру ботнета, уже установлены.
«В последнее время ботнет Emotet активно атаковал пользователей в Европе, Северной и Южной Америках. Операторы активно прогружали другие трояны, что говорит об их плотном сотрудничестве с другими хакерскими преступными группами», — рассказывает руководитель отдела исследований киберугроз европейской штаб-квартиры Group-IB в Амстердаме Рустам Миркасымов.
Судя по видео, опубликованным киберполицией Украины и Европолом, правоохранительным органам удалось задержать не только руководителей ОПГ, но и людей, вовлеченных в разработку и рассылку, продолжил эксперт.
Однако уверенные выводы можно будет делать только после публикации данных об операции, а именно о задержанных лицах и предъявленных им обвинений.
«С другой стороны, мы уже неделю не видим активности со стороны ботнета Emotet, что свидетельствуют об остановке деятельности группы. В то же время, зараженные трояном компьютеры получили команду трояну на самоудаление из системы 25 марта 2021, что говорит о том, что правоохранители получили доступ к управляющему серверу и провели мероприятия по ликвидации бот-сети. Бот-сеть, как она есть, однозначно перестала существовать. Но были ли арестованы все члены группы? Не увидим ли мы новый троян, основанных на исходниках Emotet? Ответы на эти вопросы можно будет получить только после огласки информации о задержанных и их роли в ОПГ», — считает Миркасымов.
Ботнет Emotet, который заманивал жертв с помощью фишинговых email-рассылок, только за 2020 год использовал более 150 000 различных тем писем и более 100 000 имен файлов, рассказал «Газете.Ru» Лотем Финкельстин, руководитель отдела по анализу угроз Check Point. Emotet постоянно адаптировал свои фишинговые кампании под интересы потенциальных жертв и актуальные события, такие как пандемия COVID-19 или распродажи, приуроченные к «Черной пятнице».
«Несмотря на то, что заявление Европола о ликвидации ботнета может показаться абстрактным, стоит помнить, что Emotet затронул каждую пятую организацию в мире. Эта новость отражает важность деятельности целевых групп по киберпреступности во всем мире и их общее стремление защитить людей от киберугроз, которые приводят к потерям миллионов долларов, если не больше», — заявил Финкельстин.
На вопрос о том, действительно ли операция «Божья коровка» положила конец деятельности Emotet, Финкельстин ответил, что пока обнародовано слишком мало информации о захвате инфраструктуры ботнета.
«Согласно заявлению Европола, в течение нескольких часов после его публикации в сети начали появляться доказательства возможных арестов, проведенных одновременно с захватом инфраструктуры.
Если это окажется правдой, то повреждение инфраструктуры Emotet может быть фатальным.
Однако пока рано делать выводы», — заключил эксперт.
Ликвидация Emotet – важная веха в борьбе с киберпреступностью, соглашается Адольф Стреда, исследователь вредоносных программ в Avast.
«Emotet был подобен швейцарскому армейскому ножу: он мог красть пароли, деньги с банковских счетов, добавлять компьютеры жертв в бот-сети для запуска дальнейших фишинговых кампаний. Он использует сильные методы обфускации (запутывания кода), чтобы избежать обнаружения и захвата антивирусами. Разработчики Emotet предлагали его и другим киберпреступникам. Такой широкий охват и большое количество семейств вредоносного ПО, связанное с его инфраструктурой являются главными причинами того, что обезвреживание Emotet властями – отличная новость для мира кибербезопасности», — заявил Стреда.
