- Từ trojan ngân hàng đến ống nhỏ giọt
- “Phần mềm độc hại nguy hiểm nhất trên thế giới”
- Một bản phân phối lớn và được cá nhân hóa
- Sự kết thúc và sự trở lại của Emotet
Sau khi bị tháo dỡ trong một hoạt động do một số quốc gia thực hiện vào tháng Giêng, Emotet dường như đã trở lại. Tại sao phần mềm độc hại này lại đáng sợ như vậy? Những hành động của anh ta trước khi bị bắt? Tại sao nó được coi là phần mềm độc hại nguy hiểm nhất trên thế giới?
Được phát hiện vào năm 2014, Emotet đã trải qua một số lần phát triển trước khi trở thành phần mềm độc hại đáng sợ và đáng sợ đã tàn phá. Nó đặc biệt đáng chú ý vì khả năng tránh bị phát hiện, liên tục thay đổi bản thân, thu thập thông tin và sử dụng nó một cách thông minh trong các chiến dịch tự động, cũng như việc sử dụng nó như một phần mềm độc hại dưới dạng dịch vụdịch vụ của họ đã được thuê cho những kẻ tấn công khác để phân phối phần mềm độc hại và ransomware của riêng họ.
Từ trojan ngân hàng đến làm rơi
#VariantDelta
Emotet được phát hiện lần đầu tiên vào năm 2014. Vào thời điểm đó, nó được sử dụng như một trojan ngân hàng chủ yếu nhắm vào các ngân hàng Đức, Áo và Thụy Sĩ. Anh ta hài lòng với việc thu thập thông tin ngân hàng bằng cách chặn lưu lượng truy cập Internet, trước khi nhanh chóng bổ sung khả năng thực hiện chuyển tiền tự động vào kho vũ khí của mình, cho phép anh ta nhắm mục tiêu trực tiếp đến tài khoản khách hàng. Với phiên bản thứ ba, phần mềm độc hại có thể ẩn trên hệ thống, cho phép nó mở rộng phạm vi tấn công.
Nhưng Emotet thực sự bắt đầu tạo ra làn sóng vào năm 2017, với sự phát triển của việc sử dụng nó. Ngoài việc giữ lại khả năng truy xuất thông tin, phần mềm độc hại đã trở thành thứ được gọi là làm rơi. Bây giờ nó đã có thể phát tán phần mềm độc hại bổ sung. Những người tạo ra nó cũng đã thêm các tính năng cho phép nó hoạt động như một con sâu máy tính. Nó lan truyền trên các mạng mà các máy tính của nạn nhân được kết nối và sử dụng lực lượng vũ phu để tìm mật khẩu và truy cập các hệ thống khác. Kể từ đó, Emotet từ một trojan ngân hàng “đơn giản” trở thành một mối đe dọa nghiêm trọng.
“Phần mềm độc hại nguy hiểm nhất trên thế giới”
– Vậy làm thế nào mà bạn được bình chọn là người đàn ông đẳng cấp nhất thế giới?
Trong phiên bản mới của nó, Emotet được sử dụng theo hai cách. Là một phần mềm độc hại cổ điển, để có được quyền truy cập liên tục để lấy thông tin nhạy cảm như mật khẩu, danh sách liên hệ địa chỉ email, nội dung email và tệp đính kèm do nạn nhân của nó gửi và để tiếp tục lan truyền trong mạng. Nhưng nó cũng được sử dụng như phần mềm độc hại dưới dạng dịch vụ. Sau khi có được quyền truy cập, Emotet có thể tải xuống và cài đặt phần mềm độc hại khác, theo nguyên tắc “bán” quyền truy cập đã phục hồi cho các tác nhân độc hại khác. Trong khi nhiều trojan khác nhau đã được phát tán theo cách này trong những năm hoạt động của Emotet, hai trong số chúng được sử dụng đặc biệt và đáng sợ: TrickBot và QBot.
Hai trojan ngân hàng này, giống như Emotet, có khả năng di chuyển theo chiều ngang trên mạng và khôi phục thông tin bí mật để sử dụng trong các chiến dịch trong tương lai. Nhưng chúng cũng được sử dụng như làm rơi, lần này là để phát tán ransomware. TrickBot được biết là phân phối ransomware Ryuk và Conti, trong khi Qbot phát tán ProLock.
Tóm lại, bị nhiễm Emotet có nghĩa là tất cả các thiết bị trên mạng có thể bị xâm nhập, thông tin bị thu thập bởi cả phần mềm độc hại và những thứ nó phát tán, và ransomware có thể được cài đặt trên hệ thống. Một số thiết bị cũng đã được thêm vào mạng botnet và được sử dụng trong các chiến dịch lừa đảo lớn để lây nhiễm sang các máy mới. Chúng tôi cũng có thể làm nổi bật khả năng tránh bị phần mềm chống vi-rút phát hiện nhờ vào việc sửa đổi liên tục mã của nó. Do đó, Emotet rất xứng đáng với biệt danh “phần mềm độc hại nguy hiểm nhất trên thế giới”.
Một bản phân phối lớn và được cá nhân hóa
– Gia đình ổn chứ?
– Không sao, không sao đâu, Emotet …
Emotet đã được phân phối trong các chiến dịch lừa đảo, dưới dạng tài liệu Word, PDF hoặc bản tải xuống được thực hiện trên một trang web. Bắt đầu từ tháng 4 năm 2019, phần mềm độc hại bắt đầu sử dụng thông tin được thu thập trước đó, bao gồm thông tin liên quan đến email và khởi chạy các chiến dịch lừa đảo tích cực, sử dụng một kỹ thuật được gọi là chiếm quyền điều khiển chuỗi thư điện tử.
Sử dụng các liên hệ và chuỗi đã được truy xuất trước đó, Emotet có thể tự động tạo nhiều email lừa đảo được cá nhân hóa hơn. Những email này giả vờ là câu trả lời cho một chuỗi trước đó giữa nạn nhân và một trong những người liên hệ của anh ta, bằng cách đưa vào nội dung email các cuộc thảo luận cũ được khôi phục trong cuộc tấn công và giữ nguyên chủ đề email đã được thêm vào “Re:” tiếp đầu ngữ. Trong một số trường hợp, các tệp đính kèm cũ cũng được thêm vào để hợp pháp hơn. Tuy nhiên, những email này không được gửi từ địa chỉ email bị xâm nhập mà từ cơ sở hạ tầng và địa chỉ của những kẻ tấn công được tạo ra cho dịp này và bị đánh máy.
Để gửi những email này, Emotet có thể dựa vào mạng lưới máy tính bị nhiễm virut khổng lồ của mình, cho phép nó thực hiện các chiến dịch khổng lồ lên đến 250.000 tin nhắn được gửi mỗi ngày, được phát hiện vào tháng 7 năm 2020. Cả công ty và tổ chức và cá nhân đều là nạn nhân. thế giới.
Sự kết thúc và sự trở lại của Emotet
Emotet: hồi sinh
Vào ngày 27 tháng 1 năm 2021, Europol thông báo rằng họ đã thành công trong việc kiểm soát mạng botnet Emotet nhờ hành động phối hợp quốc tế giữa các cơ quan chức năng của một số quốc gia, bao gồm cả Pháp. Bằng cách hiện chỉ đạo cơ sở hạ tầng, các nhà chức trách đã ngăn chặn việc cài đặt thêm phần mềm độc hại và có thể phân phối hàng loạt mô-đun mới cho các máy tính bị nhiễm để tự động gỡ cài đặt Emotet vào ngày 25 tháng 4 năm 2021.
Nhưng nếu Emotet có thể bị dừng lại, thì TrickBot vẫn tiếp tục hoạt động của mình. Vào ngày 15 tháng 9 năm 2021, Cryptolaemus, một nhóm các nhà nghiên cứu chuyên về cuộc chiến chống phần mềm độc hại đã phát hiện ra các dấu hiệu của hoạt động Emotet mới. Lần này, trái với những gì đã làm trong quá khứ, TrickBot được sử dụng để phân phối phiên bản cải tiến của Emotet và cố gắng xây dựng lại mạng botnet. Hoạt động này vẫn diễn ra kín đáo cho đến thời điểm này nhưng các tài liệu bị nhiễm mới đang bắt đầu được lan truyền. Nếu cơ sở hạ tầng Emotet quản lý để được xây dựng lại, một số chuyên gia, bao gồm cả Vitali Kremez của Advanced Intel, cảnh báo rằng việc lây nhiễm ransomware có khả năng gia tăng đáng kể. Đến ngày 15 tháng 11, hơn 246 thiết bị đã bị nhiễm virus.
