Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Emotet появился еще в 2014 году и в последние годы стал одной из наиболее активных угроз среди вредоносных программ. Малварь распространялась преимущественно с почтовым спамом, через вредоносные документы Word, Excel и так далее. Такие письма могли маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку или под информацию о распространении коронавируса. Словом, хакеры внимательно следили за мировыми трендами и постоянно совершенствовали письма-приманки.
Хотя когда-то Emotet начинал свой пусть как классический банковский троян, в итоге угроза сильно видоизменилась, превратившись в мощный загрузчик с множеством модулей, а ее операторы стали активно сотрудничать с другим преступными группами.
Проникнув в систему жертвы, Emotet использовал зараженную машину для дальнейшей рассылки спама, а также устанавливал на устройство самую разную дополнительную малварь. Зачастую это были банкеры, такие как Trickbot, майнеры, инфостилеры, а также шифровальщики вроде Ryuk.
В своем отчете Европол называет Emotet «наиболее опасными вредоносным ПО в мире», а также «одним из самых выдающихся ботнетов последнего десятилетия». Ликвидация этой малвари, по мнению правоохранителей, станет одной из самых масштабных операций такого рода, а также окажет мощное влияние на весь преступный мир.
«На протяжении долгого времени Emotet был нашей угрозой номер один, и его устранение будет иметь большое значение. Emotet участвует в 30% всех атак вредоносного ПО, так что его успешная ликвидация окажет большое влияние на всю криминальную среду, — комментирует руководитель операций Европейского центра по борьбе с киберпреступностью Фурнандо Руис (Fernando Ruiz). — Мы ликвидировали один из основных дропперов на рынке, и теперь наверняка возникнет пробел, который попытаются заполнить другие преступники. Но на некоторое время [наша операция] окажет положительное влияние на кибербезопасность».
Власти сообщают, что, объединив усилия, им удалось захватить контроль над инфраструктурой Emotet и нарушить ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
«Инфраструктура Emotet включала несколько сотен серверов, расположенных по всему миру, и каждый из них имел разную функциональность, чтобы управлять зараженными компьютерами жертв, распространяться на новые машины, обслуживать другие преступные группы и, в конечном итоге, сделать сеть более устойчивой к попыткам отключения», — пишут специалисты Европола.
Хотя серверы преступников были расположены во многих странах мира, голландские полицейские заявили, что два из трех основных управляющих серверов Emotet располагались именно в их стране. Судя по всему, именно там была обнаружена база данных украденных email-адресов, имен пользователей и паролей. Теперь все желающие могут проверить, не подвергались ли они взлому через Emotet, просто посетив сайт полиции Нидерландов.
Также правоохранители сообщили, что использовали свой доступ к управляющим серверам для развертывания специального обновления на всех зараженных хостах. Код этого обновления содержит “бомбу замедленного действия”: этот механизм приведет к удалению Emotet со всех зараженных машин 25 марта 2021 года в 12:00 по местному времени. Эти данные подтверждают многочисленные ИБ-компании и эксперты.
All Emotet epochs now are delivering the payload (https://t.co/Tv21VmJm4s) which has the code to remove Emotet on 25 March 2021 12:00. I believe that #Emotet #Killed pic.twitter.com/FnrdqZmQcd
— milkream (@milkr3am) January 27, 2021
Специалисты говорят о том, что этот "запланированный сбой" фактически обнулит Emotet, вынудив операторов малвари начинать все заново, предоставив ИТ-персоналу по всему миру возможность найти и обезопасить зараженные устройства.
Впрочем, неизвестно, многие ли операторы Emotet останутся на свободе к этому времени. Дело в том, что Киберполиция Украины уже сообщила об аресте двух человек, чья «деятельность» нанесла иностранным банкам ущерб в размере более 2,5 миллиардов долларов. Сообщается, что теперь задержанным грозит до 12 лет лишения свободы.
Украинские правоохранители опубликовали на своем сайте видео арестов и последующих обысков. В ролике видно, как полиция конфискует жесткие диски, компьютеры и другое оборудование, а также большие суммы денег и даже слитки золота.
«Анализ счетов преступной группой, стоящей за Emotet, показал, что за два года только на одной платформе виртуальной валюты было перемещено порядка 10,5 млн долларов, — пишут представители британского Национального агентства по борьбе с преступностью (National Crime Agency, NCA). — Следователи NCA смогли установить, что в этот период времени почти 500 000 долларов были потрачены группой на поддержание своей криминальной инфраструктуры».
UPD
Как заметили некоторые ИБ-исследователи, согласно документации MSDN, значение в поле tm_mon в коде обновления Emotet ведет свой отсчет от нуля (январь — это 0), а значит стирание Emotet, похоже, запланировано на 25 апреля, а не на 25 марта, как сообщалось ранее.
According to MSDN documentation, the tm_mon field in the __time64_t structure is zero-based (January == 0), so 3 is actually April.https://t.co/wig3axYtGa
— Erika Noerenberg (@gutterchurl) January 28, 2021
