В январе текущего года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Тогда правоохранители объединили усилия, и им удалось захватить контроль над инфраструктурой Emotet, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Более того, правоохранители использовали свой доступ к управляющим серверам Emotet, которые оказались под контролем Федерального ведомства уголовной полиции Германии (Bundeskriminalamt), для развертывания специального обновления на всех зараженных хостах.
Новый модуль для Emotet, созданный специалистами Bundeskriminalamt, был распространен на все зараженные системы в виде 32-разрядного файла EmotetLoader.dll. Это обновление содержало «бомбу замедленного действия»: механизм, которые должен был привести к удалению Emotet со всех зараженных машин 25 апреля 2021 года в 12:00 по местному времени.
В январе представители Bundeskriminalamt сообщили журналистам Bleeping Computer, что четырехмесячная задержка обусловлена сбором улик:
«Идентификация скомпрометированных систем необходима для сбора доказательств, а также она позволит заинтересованным пользователям провести полную очистку своих систем для предотвращения дальнейших правонарушений. Для этого коммуникационные параметры ПО были скорректированы таким образом, чтобы системы жертв более могли взаимодействовать с инфраструктурой преступников, и работали с инфраструктурой, созданной для сбора доказательств».
Этот "запланированный сбой" должен фактически обнулить Emotet, вынудив операторов малвари начинать все заново, и предоставив ИТ-персоналу по всему миру возможность найти и обезопасить зараженные устройства.
Еще в начале года исследователи Malwarebytes внимательно изучили этот модуль и принципы его работы. Они заметили, что если изменить системное время на тестовой машине и запустить модуль, тот удалил только связанные службы Windows, ключи автозапуска из реестра, а затем завершит процесс, оставив все остальное на скомпрометированном устройстве нетронутым.
#Emotet uninstall routine tested via date hack (system clock changed to sometime after April 25).
— Jérôme Segura (@jeromesegura) January 31, 2021
- Deletes the service
- Deletes the run key
- Attempts (but fails) to move file to %temp%
- Exits the process
?Emotet is now disabled
More details: https://t.co/jbF6JamOnB pic.twitter.com/yZmt4BW5Bv
«Чтобы со временем этот подход был успешным, важно как можно внимательнее следить за этими обновлениями, и, по возможности, задействованные правоохранительные органы, которые должны публиковать эти обновления в открытом интернете, чтобы аналитики могли быть уверены, что что-либо нежелательное не избежало [удаления]», — говорили эксперты Malwarebytes.
Bleeping Computer отмечает, что эксперты ФБР, Европола и Bundeskriminalamt никак не прокомментировали прошедшее 25 апреля и удаление Emotet из зараженных систем. Пока правоохранители отказались говорить об этом с представителями СМИ.