Η Microsoft προειδοποιεί τους πελάτες της να μην «χαλαρώσουν» τις άμυνές τους μετά την κατάργηση εκατοντάδων servers του Emotet botnet που επιτεύχθηκε στα τέλη Ιανουαρίου 2021. Το Emotet, το οποίο ήταν αρχικά ένα run-of-the-mill banking trojan που εντοπίστηκε το 2014, εξελίχθηκε στο μεγαλύτερο και πιο επικίνδυνο botnet που δραστηριοποιείται στο τοπίο των απειλών, χρησιμοποιούμενο από μια APT hacking ομάδα που είναι γνωστή με τις ονομασίες TA542 και Mummy Spider.
Το malware χρησιμοποιείται για την έγχυση άλλων οικογενειών malware, συμπεριλαμβανομένων των QakBot και Trickbot trojans (γνωστοί φορείς ανάπτυξης για τα Ryuk/Conti, ProLock και Egregor ransomware payloads) σε μολυσμένα συστήματα.
Τα δεδομένα τηλεμετρίας που συνέλεξε η Microsoft από τη διακοπή της υποδομής του Emotet, δείχνουν ότι το botnet σημείωσε σημαντική πτώση στη δραστηριότητά του, ωστόσο ο τεχνολογικός κολοσσός συνιστά στους πελάτες του να μην χαλαρώσουν τις άμυνές τους.
Συγκεκριμένα, το Redmond – το παγκόσμιο δίκτυο εμπειρογνωμόνων ασφαλείας της εταιρείας – ανέφερε στις 8 Φεβρουαρίου στο Twitter τα ακόλουθα:
«Τα δεδομένα του Microsoft 365 Defender δείχνουν ότι η διακοπή της υποδομής του Emotet είχε ως αποτέλεσμα την μείωση των νέων εκστρατειών. Ωστόσο, δεδομένης της εμβέλειας και του ρόλου του Emotet στην ανάπτυξη payloads όπως τα ransomware, οι πελάτες πρέπει να εφαρμόζουν συνεχή παρακολούθηση και προστασία.»
Οι servers του Emotet botnet καταργήθηκαν τον Ιανουάριο και η λειτουργία του malware διακόπηκε μετά από διεθνή αστυνομική επιχείρηση που συντονίστηκε από την Europol και την Eurojust. Μετά από αυτήν την κοινή προσπάθεια, οι υπηρεσίες επιβολής του νόμου και οι αρχές από πολλές χώρες μπόρεσαν να πάρουν υπό τον έλεγχό τους εκατοντάδες servers του Emotet, που θα έπρεπε να είχαν κάνει το botnet πολύ ανθεκτικό σε οποιεσδήποτε απόπειρες κατάργησης.
Όλοι οι υπολογιστές που έχουν μολυνθεί από το Emotet ανακατευθύνθηκαν σε υποδομή που ελέγχεται από την επιβολή του νόμου, ώστε να διαταραχθεί αποτελεσματικότερα η κακόβουλη δραστηριότητα.
Η επιβολή του νόμου διανέμει επίσης ένα νέο Emotet module σε όλες τις μολυσμένες συσκευές, που θα απεγκαταστήσει αυτόματα το malware στις 25 Απριλίου 2021.
Η Ομοσπονδιακή Εγκληματολογική Υπηρεσία (ΒΚΑ) της Γερμανίας ανέφερε στο BleepingComputer τα εξής: «Στο πλαίσιο των ποινικών διαδικαστικών μέτρων που λαμβάνονται σε διεθνές επίπεδο, το Bundeskriminalamt έχει κανονίσει την απομόνωση του Emotet malware στα επηρεαζόμενα συστήματα υπολογιστών. Είναι απαραίτητη η ταυτοποίηση των επηρεαζόμενων συστημάτων προκειμένου να συγκεντρωθούν αποδεικτικά στοιχεία και να δοθεί η δυνατότητα στους ενδιαφερόμενους χρήστες να πραγματοποιήσουν πλήρη εκκαθάριση του συστήματος για την αποφυγή περαιτέρω παραβιάσεων.»
Όπως αναφέρει το BleepingComputer, το Emotet είχε στοχεύσει στο παρελθόν πολιτείες των ΗΠΑ και τοπικές κυβερνήσεις σε στοχευμένες εκστρατείες.
Το γεγονός ότι οι αρχές έχουν αναλάβει το botnet και το «αναγκάζουν» να απεγκατασταθεί τον Απρίλιο, θα μπορούσε να οδηγήσει σε σημαντική αναστάτωση που θα καθιστούσε πολύ δύσκολο για το Emotet να επιστρέψει. Ωστόσο, παρά τα σημάδια που δείχνουν ότι το Emotet δυσκολεύεται να επιστρέψει, άλλα «κατεστραμμένα» botnets κατάφεραν να ανακάμψουν στο παρελθόν παρά τη συντονισμένη προσπάθεια κατάργησής τους. Για παράδειγμα, παρά τις ελπίδες ότι η διακοπή του TrickBot τον Οκτώβριο από την κυβέρνηση των ΗΠΑ και τη Microsoft θα είχε μακροπρόθεσμο αποτέλεσμα, το TrickBot επέστρεψε γρήγορα.
Παρόλα αυτά, ερευνητές ασφαλείας όπως ο Joseph Roosen της ερευνητικής ομάδας “Cryptolaemus”, που παρακολουθεί τις δραστηριότητες του Emotet, εξακολουθούν να ενθουσιάζονται από τη διακοπή του botnet. Συγκεκριμένα, ο Roosen δήλωσε στο BleepingComputer τα εξής: «Είμαι αισιόδοξος για το μέλλον. Η συνεργασία της επιβολής του νόμου, του ιδιωτικού τομέα και των εθελοντών είναι ένα όμορφο πράγμα που πρέπει να το δούμε.»
