Издание ZDNet пообщалось с участниками группы Cryptolaemus, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившихся ради общей цели: борьбы с малварью Emotet. Каждый день группа публикует на своем сайте и в Twitter новые отчеты, индикаторы компрометации, IP-адреса управляющих серверов Emotet, хэши зараженных файлов и другую полезную информацию. Эксперты надеются, что эти данные помогут администраторам по всему миру защитить системы от возможных заражений Emotet, а также помогут обнаружить атаки на ранних стадиях, пока малварь не успела нанести значительный ущерб.

Emotet появился еще в 2014 году и сейчас, это одна из наиболее активных угроз среди вредоносных программ. Малварь распространяется преимущественно с почтовым спамом, через вредоносные документы Word. Такие письма могут маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку и даже под информацию о распространении коронавируса. Словом, хакеры внимательно следят за мировыми трендами и постоянно совершенствуют свои письма-приманки.

Хотя когда-то Emotet начинал свой пусть как классический банковский троян, но сейчас угроза сильно видоизменилась, превратившись в мощный загрузчик, а ее операторы стали активно сотрудничать с другим преступными группами.

Сегодня Emotet поставляется с множеством модулей, которые позволяют малвари распространяться внутри сети. Недавно ИБ-специалисты обнаружили, что для бокового перемещения Emotet даже может действовать как Wi-Fi червь.

Проникнув в систему жертвы, Emotet использует зараженную машину для дальнейшей рассылки спама, а также устанавливает на устройство самую разную дополнительную малварь. Зачастую это банкеры, такие как Trickbot (который ворует учетные данные, cookie, историю браузера, ключи SSH и так далее), майнеры, инфостилеры, а также шифровальщики, вроде Ryuk.

Участники группы Cryptolaemus регулярно встречаются в Slack и Telegram, где обсуждают новые способы борьбы с Emotet. Многие из участников команды не могут раскрыть свои личности и открыто заявить, что состоят в группе, так как они связаны различными NDA, и их контракты не позволяют открыто делиться информацией об угрозах в интернете. Некоторые работают ИТ-администраторами в крупных корпорациях, другие являются сотрудниками фирм, специализирующихся на кибербезопасности.

ZDNet рассказывает, что группа возникла в 2018 году, когда системный администратор из США, известный в Twitter как JayTHL, выдвинул идею создания такой команды в групповом чате. Почти все присутствующие согласились, что борьба с Emotet – благое и интересное дело. Постепенно группа росла,  участников становилось больше, и они объединяли усилия, чтобы публиковать индикаторы компрометации и работать над проблемой сообща.

«Лично я просто хочу помочь людям и остановить эту угрозу, — сказал журналистам Джозеф Розен, один из немногих участников Cryptolaemus, раскрывших свое имя. — Когда в ноябре 2017 года Emotet заразил сеть на моей работе, остановить его удалось лишь благодаря тому, что у нас была довольно надежная схема VLAN, и поэтому боковое движение было ограничено, и очитка прошла легко. Но этот опыт изменил мою жизнь, а вместе с тем разозлил меня».

Что до названия Cryptolaemus («криптолемус»), оно родилось в 2018 году, после того как компания Symantec опубликовала отчет, посвященный Emotet. Документ гласил, что оператором малвари выступает некто, известный под псевдонимом Mealybug («червец», сельскохозяйственный вредитель). Криптолемусы же – это род божьих коровок, которые используются, в том числе, для уничтожения и понижения численности червецов. Идею названия подсказал исследователям  один из членов команды, ps66uk, который является не только ИБ-специалистом, но еще и биологом.

Участники Cryptolaemus признаются, что в конечном итоге им хотелось бы увидеть, как Emotet закроется, а его создатель, известный как Иван, окажется за решеткой. И хотя до этого определенно еще далеко, пока специалисты готовы хотя бы снижать количество заражений и тем самым лишать Ивана прибыли. Так, некоторые члены команды занимаются реверс-инжинирингом пейлоадов Emotet, другие отслеживают управляющие серверы ботнета, третьи взламывают шифрование и протоколы, связанные с Emotet.

За работой Cryptolaemus пристально следят как правоохранительные органы, так и коллеги энтузиастов из  компаний, занимающихся кибербезопасностью. Более того, эксперты уверены, что разработчики Emotet наблюдают за ними не менее внимательно.

«Я абсолютно уверен, что они знают о нас и читают наши ежедневные отчеты, — говорит Розен. — Мы слишком часто наблюдали, как они меняют тактику буквально через несколько минут после наших публикаций, чтобы это было простым совпадением. Я абсолютно уверен, что они – одни из наших многочисленных читателей, которые читают наши отчеты, как только те появляются».

«По правде говоря, видеть такое сотрудничество в группе действительно здорово, потому что некоторые из нас буквально работают на прямых конкурентов друг друга, но все же мы можем работать сообща и  публиковать индикаторы компрометации, что редко встречается в отрасли», — рассказывает еще один член Cryptolaemus, Джеймс Куин, аналитик компании Binary Defense.

«Самое большое наше достижение — это открытое сотрудничество и обмен между различными организациями в отрасли, — поддерживает коллегу Розен. — Поскольку нас рассматривают как нейтральную сторону, люди готовы сотрудничать с нами более свободно, и благодаря этой коллаборации вместе мы добились больших успехов».

2 комментария

  1. Аватар

    mitrofanzzz

    02.03.2020 at 18:17

    У анонимности в сети всё-же есть положительные стороны!

  2. Аватар

    DiverRus

    03.03.2020 at 00:04

    Что сказать? Молодцы ребята, белошляпники всегда сражались с чёрношляпниками.

Оставить мнение