В январе текущего года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Правоохранителям удалось захватить контроль над инфраструктурой Emotet, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели. Когда доступ к управляющим серверам Emotet перешел к Федеральному ведомству уголовной полиции Германии (Bundeskriminalamt), его использовали для развертывания специального обновления на всех зараженных хостах.
Обновление для Emotet, созданное специалистами Bundeskriminalamt, было распространено на все зараженные системы в виде 32-разрядного файла EmotetLoader.dll. Оно содержало «бомбу замедленного действия»: механизм, которые привел к удалению Emotet со всех зараженных машин 25 апреля 2021 года в 12:00 по местному времени.
Однако помимо пользовательских компьютеров Emotet взломал еще и большое количество почтовых ящиков, а затем использовал их для своих операций. В связи с этим представители ФБР решили обеспечить пользователям возможность проверить, не пострадали ли они от Emotet.
Для этого специалисты ФБР и Голландского национального подразделения по борьбе с тяжким техническим преступлениям поделились с известным агрегатором утечке Have I Been Pwned 4 324 770 адресами электронной почты, которые использовал Emotet. Трой Хант, создатель и глава HIBP, пишет, что только 39% этих email-адресов уже были проиндексированы его сервисом, то есть ранее попади в сеть в результате утечек данных.
Переданные HIBP адреса принадлежат пользователям из самых разных стран, однако они недоступны для простого поиска. Из соображений конфиденциальности только подписчики сервиса, пострадавшие от Emotet, уже предупреждены о компрометации в частом порядке. То есть людям придется либо подтвердить контроль над адресом через службу уведомлений HIBP, либо выполнить поиск по домену, чтобы понять, не коснулась ли их компрометация.
Напомню, что похожий сервис в начале года похожий сервис запустили голландские правоохранители. Судя по всему, именно в этой стране была обнаружена база данных украденных email-адресов, имен пользователей и паролей, и все желающие могут проверить, не подвергались ли они взлому Emotet, просто посетив сайт полиции Нидерландов.
Другой сервис Have I Been Emotet был запущен еще прошлой осенью экспертами компании TG Soft. Он проверяет, использовал ли Emotet конкретный email-адрес в качестве отправителя или получателя в своих вредоносных кампаниях. Однако этот сервис последний раз обновлялся еще до ликвидации ботнета.