Τι είναι το emotet;

Το Emotet είναι ένα κακόβουλο λογισμικό και μια επιχείρηση εγκλήματος στον κυβερνοχώρο με έδρα τη Ρωσία. Το κακόβουλο λογισμικό, επίσης γνωστό ως Geodo και Mealybug , εντοπίστηκε για πρώτη φορά το 2014 και παραμένει ακόμα ενεργό.

Θεωρήθηκε μία από τις πιο διαδεδομένες απειλές του 2019.

Οι πρώτες εκδόσεις του κακόβουλου λογισμικού Emotet λειτούργησαν ως trojan τραπεζικής με στόχο την κλοπή τραπεζικών διαπιστευτηρίων από μολυσμένους κεντρικούς υπολογιστές. 

Και μετά σιωπή…

Καθ’ όλη τη διάρκεια του 2016 και του 2017, οι χειριστές του Emotet ενημέρωσαν το trojan και το επαναδιαμόρφωσαν ώστε να λειτουργεί κυρίως ως "φορτωτής", ένας τύπος κακόβουλου λογισμικού που αποκτά πρόσβαση σε ένα σύστημα και, στη συνέχεια, επιτρέπει στους χειριστές του να κατεβάζουν πρόσθετα ωφέλιμα φορτία. 

Το ωφέλιμο φορτίο δεύτερου σταδίου μπορεί να είναι οποιοσδήποτε τύπος εκτελέσιμου κώδικα, από τις μονάδες της Emotet έως το κακόβουλο λογισμικό που αναπτύχθηκε από άλλες συμμορίες εγκλήματος στον κυβερνοχώρο.

Η αρχική μόλυνση των συστημάτων-στόχων προχωρά συχνά μέσω ενός ιού μακροεντολών σε ένα συνημμένο email. Το μολυσμένο email είναι μια νόμιμη απάντηση σε ένα προηγούμενο μήνυμα που εστάλη από το θύμα.

Ένα δίκτυο προηγμένης Τεχνητής Νοημοσύνης

Έχει τεκμηριωθεί ευρέως ότι οι συγγραφείς του Emotet έχουν χρησιμοποιήσει το κακόβουλο λογισμικό για να δημιουργήσουν ένα botnet μολυσμένων υπολογιστών στους οποίους πωλούν πρόσβαση σε ένα μοντέλο Infrastructure-as-a-Service (IaaS), το οποίο αναφέρεται στην κοινότητα της κυβερνοασφάλειας ως MaaS (Malware-as -a-Service), Cybercrime-as-a-Service (CaaS) ή Crimeware. Το Emotet είναι γνωστό για την ενοικίαση πρόσβασης σε μολυσμένους υπολογιστές σε επιχειρήσεις ransomware , όπως η συμμορία Ryuk. 

Η πηγή πληροφορίας και ελέγχου: Το bonet

Από τον Σεπτέμβριο του 2019, η λειτουργία Emotet συνεχίζει να είναι ενεργή, τρέχοντας πάνω από τρία ξεχωριστά botnet που ονομάζονται Epoch 1, Epoch 2 και Epoch 3.

Τον Ιούλιο του 2020, οι καμπάνιες Emotet εντοπίστηκαν παγκοσμίως, μολύνοντας τα θύματά της με τα TrickBot και Qbot , τα οποία χρησιμοποιούνται για να κλέψουν τα τραπεζικά διαπιστευτήρια και να εξαπλωθούν μέσα σε δίκτυα.

Ορισμένες από τις καμπάνιες malspam περιείχαν κακόβουλο αρχείο εγγράφων με ονόματα που ονομάστηκαν "form.doc" ή "invoice.doc".

Σύμφωνα με ερευνητές ασφαλείας, το κακόβουλο έγγραφο ξεκινά ένα σενάριο PowerShell για να τραβήξει το ωφέλιμο φορτίο Emotet από κακόβουλους ιστότοπους και μολυσμένους υπολογιστές. 

Στην συνέχεια γίνεται ένας ακόμα κόμβος και κυριαρχείται από τις κατευθύνσεις και τις λειτουργίες που του ανατίθενται από το πανέξυπνο botnet.

Οι νεότερες εκδόσεις

Μια ακόμη νεότερη λειτουργία του (2020) είναι ότι μπορεί να εγκαταστήσει τον εαυτό του χρησιμοποιώντας wifi δίκτυα τα οποία δεν προστατεύονται από κρυπτογράφηση (open) ή διαθέτουν γνωστούς εργοστασιακούς κωδικούς (πχ admin:admin). 

Επίσης έχει παρατηρηθεί ότι, αφού εγκατασταθεί στο μηχάνημα χρήστη, επιχειρεί να παρακάμψει τείχη προστασίας (firewall ή gateways) ή γνωστά web filters. Με την μέθοδο brute force attack στις πόρτες 80, 443, 8080, 8443. Με την χρήση είτε εργοστασιακών κωδικών είτε των ήδη γνωστών κωδικών χρήστη που έχει υποκλέψει από το σταθμό εργασίας που εκτελείται.

Ας δούμε όμως τους πέντε κύριους λόγους που το καθιστούν το πιο παραπλανητικό τρόπο μετάδοσης μετά από τόσα χρόνια.

  1. Διαθέτει πάρα πολύ έξυπνο τρόπο πολύ-πλέξης των στοιχείων στο αρχικό μήνυμα και των πηγών προέλευσης χρησιμοποιώντας το botnet.
    Περίπου 1 στους 10, μόλις, χρήστες αντιλαμβάνονται ότι πρόκειται για μολυσμένο μήνυμα έως ότου ανοίξουν το συνημμένο αρχείο. Το εντυπωσιακό είναι ότι μπορεί να φανεί τόσο πιστευτό, δημιουργώντας ένα replay μήνυμα, χρησιμοποιώντας το αρχικό μήνυμα χωρίς υπερβολές.
  2. Πάντα χρησιμοποιεί διαφορετικό κείμενο μηνύματος αν πρόκειται για τον ίδιο χρήστη προορισμού.
  3. Δεν χρησιμοποιεί ποτέ το ίδιο όνομα αρχείου στον ίδιο χρήστη προορισμού.
  4. Δεν εμφανίζεται να αποστέλλει μηνύματα από συγκεκριμένο και γνωστό mail server. Οι διευθύνσεις, τα ονόματα και οι κωδικοί χρήστη που χρησιμοποιεί έχουν υποκλαπεί εδώ και πάρα πολύ καιρό, από το ίδιο το botnet και είναι έγκυρες. Ως εκ τούτου τεχνικές επαλήθευσης όπως το DKIM και το SPF δεν χαρακτηρίζουν τον αποστολέα ως spam host.
    Το εμφανιζόμενο, όμως στον χρήστη όνομα, είναι διαφορετικό. Πάντα κάποιος στον οποίον στο παρελθόν είχε αποστείλει emai.
  5. Δεν υπερφορτώνει τον παραλήπτη με μηνύματα. Για να μην γίνεται κουραστικό και κινεί την υποψία των χρηστών αποστέλλει τρία με πέντε μηνύματα ανά ημέρα.

Πως να πείτε αν έχετε εμπλακεί στην διάδοση του Emotet

Μπορείτε να επισκεφτείτε την διεύθυνση https://www.haveibeenemotet.com/ και να εισάγετε το domain ή το email σας. Η ιστοσελίδα θα σας ενημερώσει για το πως έχετε εμπλακεί στην διάδοση του emotet.