Sākumlapa » Apdraudējumi » Globālā operācijā tiek likvidēts botu tīkls Emotet

Globālā operācijā tiek likvidēts botu tīkls Emotet

Viens no lielākajiem kiberincidentiem pagājušajā gadā Latvijā neapšaubāmi ir saistīts ar ļaunprogrammatūras Emotet straujo izplatību Latvijas valsts iestāžu un uzņēmumu datortīklos. 2020. gada 28. augustā CERT.LV brīdināja, ka “vairāk kā 160 organizācijas Latvijā ir skārusi Emotet ļaunatūra, un šis skaits turpina augt. Organizāciju vidū ir gan valsts un pašvaldību iestādes, gan privātā sektora uzņēmumi.” Toties dažas dienas vēlāk CERT.LV brīdinājums ar nosaukumu “Pulvermuca Latvijas kibertelpā” informēja, ka “inficētas jau vairāk nekā 200 organizācijas un simtiem inficētu lietotāju turpina vīrusu izplatīt tālāk. Emotet vīruss, nonācis datorā, jau pirmajās minūtēs ievāc ļoti daudz informācijas par lietotāju, un nosūta to uz saimniekserveri, lai izmantotu mērķētu uzbrukumu sagatavošanā vai pārdotu tālāk.” Tās ir tikai pāris epizodes botu tīkla Emotet vairāku gadu darbībā, kura nu ir izbeigta, bet kuras radītie zaudējumi globālā mērogā tiek lēsti miljardos eiro.

ziņo Eiropols, tiesībaizsardzības un tiesu iestādes visā pasaulē šonedēļ ir likvidējušas vienu no nozīmīgākajiem pēdējās desmitgades botu tīkliem — Emotet. Starptautiski koordinētā operācijā izmeklētāji pārņēma savā varā robottīkla infrastruktūru. Šis panākums ir Nīderlandes, Vācijas, Amerikas Savienoto Valstu, Lielbritānijas, Francijas, Lietuvas, Kanādas un Ukrainas varas iestāžu sadarbības rezultāts, ko koordinēja Eiropols un Eirojusts. Operāciju atbalstīja Eiropas Daudznozaru platforma pret noziedzības draudiem (EMPACT).

Ukrainas policijas video.

Emotet bija viens no profesionālākajiem un visilgāk funkcionējušajiem kibernoziedzības pasākumiem. Šī ļaunprogrammatūra, kas 2014. gadā pirmoreiz tika detektēta kā banku Trojas zirgs, gadu gaitā pārtapa par ļoti populāru risinājumu kibernoziedzniekiem. Emotet infrastruktūra būtībā varēja jebkuram pavērt durvis dažādās datorsistēmās visā pasaulē. Kad bija ierīkota nesankcionēta piekļuve, to pārdeva augstākā līmeņa noziedznieku grupām, lai tās varētu veikt citas nelikumīgas darbības, piemēram, datu zādzību un izspiešanu ar izspiedējvīrusu palīdzību.

Izplatīšanās ar Word dokumentiem 

Emotet grupai izdevās efektīvi izmantot e-pastu kā uzbrukuma vektoru. Pilnībā automatizētā procesā Emotet ļaunprogrammatūra tika nogādāta datoros ar inficētiem e-pasta vēstuļu pielikumiem. Lai piedabūtu lietotājus atvērt kaitīgos pielikumus, izmantoja dažādus mānekļus. E-pasta sūtījumus ar Emotet uzdeva par rēķiniem, preču piegādes paziņojumiem un par svarīgu informāciju par COVID-19. 

Viena no pēdējām Emotet sagatavēm, kas mudina lietotāju iespējot makro funkcionalitāti, lai inficētu datoru.

Visos šajos e-pasta sūtījumos bija kaitīgi Word dokumenti — pievienoti sūtījumam vai lejupielādējami, noklikšķinot uz saites e-pasta vēstulē. Kad lietotājs atvēra vienu no šādiem dokumentiem, viņu ar dažādiem viltus paņēmieniem (skat. attēlu augstāk) mudināja iespējot makro, lai Word failā paslēptais kaitīgais kods varētu palaist un instalēt cietušā datorā ļaunprogrammatūru Emotet. 

Uzbrukumi par maksu 

Emotet nebija tikai ļaunprogrammatūra vien. Emotet īpaši bīstamu padarīja tas, ka šo ļaunprogrammatūru iznomāja citiem kibernoziedzniekiem, lai ar tās palīdzību upura datorā instalētu dažāda veida ļaunprogrammatūru, piemēram, bankas Trojas zirgus vai izspiedējvīrusus. 

Tāda veida uzbrukumu dēvē par “ielādēšanas” operāciju, un Emotet tiek uzskatīts par vienu no lielākajiem kibernoziedzības pasaules spēlētājiem, jo to izmantoja citi ļaunprogrammatūras operatori, piemēram, TrickBot un Ryuk. 

Emotet infrastruktūras likvidēšana

Saskaņā ar Eiropola sniegto informāciju Emotet izmantotajā infrastruktūrā ietilpa vairāki simti serveru visā pasaulē, un tiem visiem bija dažādas funkcijas, ar kuru palīdzību tie pārvaldīja inficētos datorus, veica izplatīšanu jaunos datoros, apkalpoja citas noziedzīgās grupas un galu galā padarīja visu botu tīklu izturīgāku pret likvidēšanas mēģinājumiem. 

Lai izjauktu Emotet infrastruktūru, likumsargi kopīgiem spēkiem izstrādāja efektīvu darbības stratēģiju. Galu galā šonedēļ notika operācija, kurā tiesībaizsardzības un tiesu iestādes pārņēma savā varā šo infrastruktūru un likvidēja to “no iekšpuses”. Inficētie upuru datori tagad sazinās ar tiesībsargu kontrolētu infrastruktūru. Šī ir unikāla un jauna pieeja, kas ļauj efektīvi izjaukt kibernoziedznieku darbību. 

CERT.LV brīdina

CERT.LV šī gada 7. janvārī izplatīja brīdinājumu, ka masveidā saņem ziņojumus par jaunu Emotet ļaunprogrammatūras izplatīšanas kampaņu, kas tiek maskēta aiz novēlotiem e-pasta svētku apsveikumiem, kuru pielikumā esošais ZIP fails satur Emotet saimes datorvīrusu. Cerēsim, ka šis bija pēdējais CERT.LV brīdinājums par Emotet!

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

52 − = 45

Uz augšu