Впервые выявленный в 2014 году, Emotet продолжает заражать системы и компрометировать пользователей до сих пор, в результате чего он упоминается в новостях гораздо дольше, чем другие угрозы того же года.
Последняя версия Emotet была замечена еще в феврале, когда она была распространена по сетям WLAN, что подчеркнуло эволюцию этой вредоносной программы от банковского трояна, нацеленного на кражу финансовых данных, до глобальной угрозы для всех пользователей.
Теперь эта полиморфная вредоносная программа, способная адаптироваться каждый раз при ее загрузке с целью избежать обнаружения, снова бушует после пяти месяцев нахождения в небытие.
Преступники снова используют электронную почту в качестве вектора атаки
В своем последнем появлении Emotet вернулся к одному из своих любимых векторов атак: массированная спам-кампания с вредоносными ссылками или вложениями. Оглядываясь назад на свою историю, вредоносный спам был главным каналом, через который распространялся Emotet. Вредоносная программа взломает ваш список контактов и разошлет себя всем вашим друзьям, коллегам, родственникам и т. д. Поскольку эти письма приходят с вашего адреса, они не кажутся спамом, и получатели, скорее всего, будут чувствовать себя в безопасности при переходе по ссылкам в письме или загрузке зараженных файлов.
На что похожи файлы? В очередной раз злоумышленники отправляют тысячи электронных писем со счетами, отчетами, квитанциями о доставке и даже предложениями о работе.
На кого направлены эти письма? В основном, сообщения рассылаются компаниям, а после заражения системы она зачастую используется для продолжения отправки этих сообщений контактам в адресной книге жертвы.
Одной из особенностей Emotet является то, что угроза загружает несколько модулей, которые позволяют ей инициировать самые разнообразные вредоносные действия, особенно в корпоративных сетях. К таким действиям можно отнести горизонтальное перемещение между системами одной сети, кража учетных данных и файлов cookie, хранящихся в браузерах, кража банковских учетных данных и учетных данных для приложений удаленных рабочих столов, таких как OpenSSH, VNC и Putty, а также кража баз данных, принадлежащих службам Windows Active Directory.
Кроме того, текущие версии Emotet включают возможность установки других вредоносных программ на зараженные устройства. Эта вредоносная программа также может включать в себя другие банковские трояны или службы доставки вредоносного спама. Еще несколько месяцев назад обычно использовались шифровальщики Ryuk, хотя с момента своего повторного появления Emotet распространяет по сетям другие вредоносные программы, например, Conti. В результате этого преступники могут похитить конфиденциальную информацию и потребовать выкуп.
Как защититься от Emotet
- Отключение макросов по умолчанию в программах пакета Microsoft Office является эффективным защитным барьером для предотвращения неумолимого распространения этого типа вредоносных программ
- Регулярно и своевременно обновляйте ваши устройства последними доступными патчами и обновлениями для Microsoft Windows. Emotet может использовать уязвимость Windows EternalBlue, поэтому убедитесь, что этот бэкдор не открыт в вашей сети
- Осведомленность: сотрудники часто являются самым слабым звеном в цепочке информационной безопасности. Поэтому крайне важно научить их распознавать фишинговые электронные письма. Не загружайте подозрительные файлы и не переходите по подозрительным ссылкам
- Создавайте надежные пароли, начиная с использования двухфакторной аутентификации
- Еще одной важной мерой защиты от такого рода сложных угроз является решение по информационной безопасности с опциями расширенной защиты (EDR). Panda Adaptive Defense включает в себя технологии, разработанные специально для обнаружения таких сложных угроз, как Emotet.