В январе текущего года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации ботнета Emotet, подготовка к которой длилась два года.
Правоохранителям удалось захватить контроль над инфраструктурой Emotet, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Когда доступ к управляющим серверам Emotet перешел к Федеральному ведомству уголовной полиции Германии (Bundeskriminalamt), его использовали для развертывания специального обновления на всех зараженных хостах. Обновление, созданное специалистами Bundeskriminalamt, содержало «бомбу замедленного действия»: механизм, которые привел к удалению Emotet со всех зараженных машин 25 апреля 2021 года в 12:00 по местному времени.
Однако даже после этого множество постовых ящиков остались скомпрометированы, ведь пользователей годами обманом вынуждали заразить свои компьютеры Emotet. Напомню, что малварь воровала пароли из браузеров и почтовых клиентов, получая доступ к почтовым ящикам жертв. Там она встраивалась в старые цепочки писем, отправляя известным контактам новые сообщения, содержащие вредоносные документы Office.
Ранее представители ФБР и Голландского национального подразделения по борьбе с тяжким техническим преступлениям поделились с известным агрегатором утечек Have I Been Pwned 4 324 770 адресами электронной почты, которые использовал Emotet.
Меньший список, содержащий 1300 000 адресов, получили от правоохранителей и представители организации Spamhaus. С середины апреля организация занималась тем, что связывалась с компаниям и email-провайдерами, стоящими за указанными адресами, с просьбой защитить пострадавшие учетные записи, сбросив их пароли. В общей сложности за это время Spamhaus связалась с 22 000 владельцев доменов и 3 000 организаций, которым принадлежали взломанные ящики.
Теперь, два месяца спустя, Spamhaus сообщает, что более 60% адресов из полученного списка вновь защищены и вернулись к своим владельцам. Эксперты отмечают, что очень важный шаг, так как операторы Emotet все еще находятся на свободе, и доступ к этим почтовым ящикам мог быть продан другим преступникам или использован самим хакерами, если они решат вернуться «к делам».
