Emotet продовжує бути більш ніж активним: у березні атаки з використанням Emotet зросли більш ніж втричі. Німеччина є однією з найбільш атакованих країн світу. Найбільша проблема: Emotet поширюється через спам.
Emotet, найнебезпечніша шкідлива програма у світі за версією Європолу [1], наразі «святкує» сумне повернення через рік після її знищення. За даними Kaspersky telemetry, лише з лютого по березень 2022 року кількість атак через цей ботнет зросла втричі [2]. 2,2 відсотка компаній і приватних осіб, які були атаковані в першому кварталі, прибули з Німеччини, яка входить до 10 найбільш постраждалих країн. Таке зростання вказує на те, що вперше після свого повернення в листопаді 2021 року зловмисники, що стоять за ботнетом, вжили конкретних заходів, щоб знову значно активізувати свою шкідливу діяльність.
Emotet: як ботнет, так і зловмисне програмне забезпечення
Emotet — це і ботнет, і зловмисне програмне забезпечення, яке було вперше виявлено в 2014 році. Спочатку призначений для стеження за даними доступу для онлайн-банкінгу, він перетворився на небезпечний ботнет через численні модифікації [3]. На початку 2021 року Emotet було розгромлено спільними зусиллями міжнародних слідчих органів. Однак ботнет знову з’явився в листопаді 2021 року і відтоді активізував свою діяльність. Спочатку він поширився через банківський троян Trickbot [4]; тепер він здатний поширюватися самостійно.
Дані телеметрії Касперського свідчать про збільшення кількості жертв з 2.843 у лютому 2022 року до 9.086 у березні. Відповідно, кількість зареєстрованих атак за цей період зросла майже втричі: з 16.897 48.597 у лютому до XNUMX XNUMX у березні.
Emotet поширюється через спам
Після повернення Emotet у листопаді 2021 року ми спостерігали, як його активність поступово зростає. Хоча в лютому 2022 року він все ще становив 2.847, у березні 2022 року він уже зріс до 9.086 — утричі більше (Зображення: Kaspersky).
Зараження Emotet зазвичай відбувається через спам із вкладеннями Microsoft Office, які містять шкідливі макроси. Команда PowerShell завантажує завантажувач. Контрольований сервером керування та управління, він потім завантажує інші шкідливі модулі з різними функціями на заражений пристрій. Дослідники Kaspersky змогли ідентифікувати та проаналізувати 10 із 16 модулів, більшість із яких у тій чи іншій формі використовувалися Emotet у минулому.
Поточна версія Emotet може автоматично генерувати спам, який поширюється далі в мережі із заражених пристроїв. Електронні листи та адреси електронної пошти витягуються з програм Thunderbird і Outlook, а паролі популярних веб-браузерів, таких як Internet Explorer, Mozilla Firefox, Google Chrome, Safari та Opera, збираються для відновлення даних облікових записів електронної пошти різних поштових клієнтів E - Capture.
Новий імпульс у Emotet
«Emotet була високорозвиненою мережею, яка вразила багато компаній у всьому світі. Таким чином, його демонтаж став значним кроком у напрямку зменшення глобальних загроз для корпоративних мереж і майже на рік виключив Emotet зі списку десяти найбільших кіберзагроз», – підсумовує Олексій Шульмін, дослідник безпеки Kaspersky. «Хоча поточні цифри атак не можна порівняти з попередніми діями Emotet, відновлений імпульс вказує на значне збільшення активності операторів ботнетів. Є висока ймовірність того, що Emotet стане ще більш поширеним у найближчі місяці».
Рекомендації Касперського для бізнесу щодо захисту від Emotet і подібних ботнетів
- Слідкуйте за останніми розробками на Emotet, наприклад, через Kaspersky Resource Center [5].
- Не завантажуйте вкладення та не натискайте підозрілі посилання в спам-листах. Перевірте підозрілі електронні листи, передзвонивши відправнику. Ні в якому разі не виконуйте запит на запуск макросів, а негайно видаліть відповідні файли.
- Використовуйте онлайн-банкінг лише з багатофакторною автентифікацією.
- Компанії також повинні проводити регулярні тренінги для співробітників, такі як Kaspersky Security Awareness [7] щодо інтернет-загроз, і перевіряти їхню ефективність за допомогою симуляції фішингових атак.
Касперський опублікував на своєму YouTube-каналі Tomorrow Unlocked документальний фільм про боротьбу з ботнетом Emotet [8].
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/
[1] https://www.europol.europa.eu/media-press/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
[2] https://securelist.com/emotet-modules-and-recent-attacks/106290/
[3] https://securelist.com/the-chronicles-of-emotet/99660/
[4] https://www.kaspersky.com/blog/trickbot-new-tricks/42622/
[5] https://www.kaspersky.com/resource-center/threats
[6] https://www.kaspersky.de/internet-security
[7] https://www.kaspersky.de/enterprise-security/security-awareness
[8] https://www.youtube.com/watch?v=s3o3qOipHhk
Статті по темі