Το Emotet, ένα από τα πιο επικίνδυνα email spam botnets που καταγράφηκαν πρόσφατα, απεγκαταστάθηκε στις 25 Απριλίου από όλες τις μολυσμένες συσκευές, με τη βοήθεια ενός malware module που παραδόθηκε τον Ιανουάριο από την επιβολή του νόμου. Η κατάργηση του botnet είναι το αποτέλεσμα μιας διεθνούς αστυνομικής δράσης που επέτρεψε σε ερευνητές να αναλάβουν τον έλεγχο των servers του Emotet και να διακόψουν τη λειτουργία του malware.
Το Emotet χρησιμοποιούταν από την hacking ομάδα “TA542” (γνωστή και ως Mummy Spider) για την ανάπτυξη malware payloads δευτέρου σταδίου, συμπεριλαμβανομένων των QBot και Trickbot, στους υπολογιστές των θυμάτων. Οι επιθέσεις της TA542 είχαν συνήθως ως αποτέλεσμα την πλήρη παραβίαση ενός δικτύου και την ανάπτυξη ransomware payloads σε όλα τα μολυσμένα συστήματα, συμπεριλαμβανομένων των ProLock ή Egregor από το Qbot, και Ryuk και Conti από το TrickBot.
Διαβάστε επίσης: Microsoft: «Μη χαλαρώνετε τις άμυνές σας. Το Emotet μπορεί να επιστρέψει»
Πώς λειτουργεί το πρόγραμμα απεγκατάστασης του Emotet
Μετά την επιχείρηση κατάργησης του botnet, η αστυνομία προώθησε ένα νέο configuration σε «ενεργές μολύνσεις» του Emotet, έτσι ώστε το malware να αρχίσει να χρησιμοποιεί C2 servers που ελέγχονταν από την Bundeskriminalamt, την Ομοσπονδιακή αστυνομία της Γερμανίας. Στη συνέχεια, η αστυνομία διένειμε ένα νέο Emotet module με τη μορφή EmotetLoader.dll 32-bit σε όλα τα μολυσμένα συστήματα, που απεγκατέστησε αυτόματα το malware στις 25 Απριλίου. Οι ερευνητές ασφαλείας της Malwarebytes Jérôme Segura και Hasherezade εξέτασαν προσεκτικά το module απεγκατάστασης.
Αφού άλλαξαν το ρολόι συστήματος σε ένα δοκιμαστικό μηχάνημα για να ενεργοποιήσουν το module, διαπίστωσαν ότι διαγράφει μόνο τις σχετικές υπηρεσίες των Windows, autorun Registry keys και, στη συνέχεια, τερματίζει τη διαδικασία, αφήνοντας «ανέγγιχτα» τα υπόλοιπα στις παραβιασμένες συσκευές.
Δείτε ακόμη: Το QBot trojan αντικαθιστά το IcedID σε malspam εκστρατείες!
Τον Ιανουάριο που το Emotet botnet καταστράφηκε από μία διεθνή αστυνομική δράση, η Europol ανέφερε στο BleepingComputer ότι η γερμανική Ομοσπονδιακή αστυνομία Bundeskriminalamt (BKA) ήταν υπεύθυνη για τη δημιουργία και την προώθηση του module απεγκατάστασης. Σε δελτίο τύπου της 28ης Ιανουαρίου, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) επιβεβαίωσε επίσης ότι η Bundeskriminalamt προώθησε το module απεγκατάστασης σε υπολογιστές που είχαν μολυνθεί από το Emotet.
Συγκεκριμένα, το DoJ δήλωσε τα ακόλουθα: «Ξένες αρχές επιβολής του νόμου, σε συνεργασία με το FBI, αντικατέστησαν το Emotet malware σε servers που βρίσκονταν στη δικαιοδοσία τους με ένα αρχείο που δημιουργήθηκε από την επιβολή του νόμου. Το αρχείο της επιβολής του νόμου δεν αφαιρεί άλλα malware που έχουν ήδη εγκατασταθεί σε έναν μολυσμένο υπολογιστή μέσω του Emotet. Αντίθετα, έχει σχεδιαστεί για να αποτρέψει την εγκατάσταση πρόσθετων malware στον μολυσμένο υπολογιστή, αποσυνδέοντας τον υπολογιστή του θύματος από το botnet.»
Πρόταση: Το Prometei botnet στοχεύει unpatched Microsoft Exchange servers!
Η Bundeskriminalamt δήλωσε τον Ιανουάριο στο BleepingComputer ότι η απεγκατάσταση του Emotet καθυστέρησε, επειδή έπρεπε να συλλεχθούν περισσότερα αποδεικτικά στοιχεία για να αφαιρεθεί το malware από τις μολυσμένες συσκευές. Ωστόσο, η Bundeskriminalamt εξήγησε ότι δεν μπορεί να παράσχει περαιτέρω πληροφορίες καθώς οι έρευνες συνεχίζονται.
Νωρίτερα αυτό το μήνα, το FBI συντόνισε μια εγκεκριμένη από δικαστήριο επιχείρηση για την κατάργηση web shells από Microsoft Exchange servers στις ΗΠΑ, οι οποίοι είχαν παραβιαστεί με την εκμετάλλευση των ευπαθειών “ProxyLogon”, χωρίς να ενημερώσει πρώτα τους κατόχους των servers. Το FBI είπε ότι αφαίρεσε μόνο τα web shells και δεν εφάρμοσε ενημερώσεις ασφαλείας ούτε αφαίρεσε άλλα malware που ενδέχεται να έχουν αναπτύξει οι χάκερς στους servers.
Πηγή πληροφοριών: bleepingcomputer.com
