Emotet Malware attackerar regeringar och organisationer som kostar offer miljoner miljoner

Emotet är utan tvekan den mest problematiska och kostsamma skadlig programvara under de senaste fem åren. Den här skadliga skadan upptäcktes först 2014, och sedan dess har den orsakat problem nästan utan stopp. Hotet tog ett slags två månaders paus i maj 2019, bara för att göra rubrikerna i slutet av juli när det attackerade Lake City, Florida och kostade staden 460 000 dollar.

Senare samma år stängde universitetet i Giessen, det katolska universitetet i Freiburg och de tyska städerna Frankfurt och Bad Homburg sina IT-nät på grund av ytterligare en Emotet-attack.

Massiva emotet-spam-kampanjer har upptäckts på engelska, tyska, polska och italienska. Det amerikanska departementet för hemlandssäkerhet varnar för att Emotet påverkar "statliga, lokala, stamliga och territoriella (SLTT) regeringar och den privata och offentliga sektorn."

Emotet samarbetar med annat skadligt program till Wreak Havoc

Emotet var ursprungligen utformat för att smyga in i målmaskinerna och stjäla bankkrediter. Detta hot utvecklades emellertid till en större, mer sofistikerad skadlig programvara som nu inte bara är en fristående fara utan också en vektor som distribuerar och sprider andra familjer med skadlig programvara.

Emotet spelar en central roll i en mängd olika skadliga attacker. Olika skadliga operatörer verkar engagera sig regelbundet i hotets distribution och hjälpa till att hitta och infektera nya offer.

Även om Emotet mer än kan stjäla information fungerar detta hot främst som en dropper. Hotaktörerna använder Emotets nätverk för att sprida andra familjer av skadlig programvara, som Azorult, Dridex och Ursnif. Det som är oroväckande är att Emote tenderar att överföra skadlig programvara som tappar ytterligare hot och täpper offrens maskiner med en mängd hot.

Den mest anmärkningsvärda combo-skadan hittills är trioen Emotet - Trickbot - Ryuk, som inte bara stjäl känslig information utan också utvidgar organisationer till att betala rejäl lösen. Schemat är enkelt: Emotet laddar ner Trickbot, en modulär trojan som skrapar offermaskinen för konfidentiell information, till exempel inloggningsuppgifter och e-postadresser. Samtidigt kontrollerar de skadliga aktörerna om målmaskinen är en del av en organisation. Om så är fallet, släpper de Ryuk, en ransomware-hot som krypterar den användargenererade informationen och utpressar offren.

Emotet-combo-attackerna kan ha negativa konsekvenser, till exempel:

  • dataförlust
  • läckor av personlig och annan känslig information
  • ekonomiska förluster
  • skada en organisations rykte
  • hinder för regelbundna operationer

Emotets distributionstaktik

Emotet förlitar sig på skräppostkampanjer. Under åren använde cyberattackers skript, mikroaktiverade dokument och skadliga länkar. Emotets tidiga versioner använder skadliga JavaScript-filer, medan dess senare varianter använder mer komplexa element, till exempel makroaktiverade dokument som laddar ner den skadliga nyttolasten från kommando- och kontrollserver (C&C) -server.

Emotets valbara distributionsteknik kan tyckas standard till en början. En närmare titt på den använda tekniken avslöjar dock skadlig programvarans förfining. Detta hot är ingen standard malware. Forskare rapporterar att Emotet använder utvecklade skräpposttekniker som sätter in skadliga objekt i legitima samtalstrådar.

Emotets skräppostmodul stjälar inte bara e-postkontaktlistan utan också innehållet i meddelandena. Malware hoppar in i befintliga konversationer. Den konstruerar vilseledande meddelanden som innehåller kopierad information från gammal korrespondens samt skadliga element. Som visas i figur 1 lockar Emotet sina offer att impulsivt ladda ner skadliga filer genom att låtsas vara en legitim korrespondent.


Bild 1. Exempel på Malspam - Källa: Talosintelligence.com Blogg

Man kan föreställa sig att skadlig programvara sprider skadlig skräppost endast genom sitt nätverk av infekterade enheter. Det är dock inte fallet. Emotet sprider skräppostmeddelanden från offrens maskiner, men överför också skadliga meddelanden från andra platser och oberoende servrar. Forskare rapporterar att skadlig programvara stjäl offrens referenser och distribuerar dem till ett nätverk av bots som använder samma referenser för att ytterligare överföra e-postmeddelanden från Emotet-attacker.

Infektionsvektorer och anti-AV-tekniker

När användaren interagerar med ett skadat e-postelement, laddar skadliga makroer ner Emotets körbara från en fjärr-C & C-server. Det är känt att hotaktörerna använder tre servrar (Epoch 1, Epoch 2 och Epoch 3) som körs oberoende av varandra. Om en server tas bort kan de andra två fortsätta att driva skadeprogrammet.


Bild 2. Fördunklad makrokod - Källa: Virusbulletin.com

Makrokoden är kraftigt dämpad (figur 2). Den är väldigt lång och innehåller massor av skräpkaraktärer som kamouflerar de användbara delarna av koden. Denna enkla men ändå effektiva anti-kriminalteknik gör analysen av skadlig programvara svår och obehaglig.


Figur 2.1. Ren makrokod - Här kan vi se de användbara delarna av makrokoden som visas i figur 2 - Källa: Virusbulletin.com

Emotets körbara utmanar också forskarna. Genom att sätta in detta element i många transformationer syftar de skadliga aktörerna till att hindra skadlig analys och undvika upptäckt. Olika versioner av skadlig kod använder olika körbara filer med unika strukturer. Forskare påpekar att det enda vanliga elementet mellan varianterna är deras föräldra-barns typ av processstruktur. Den skadliga programvaran säkerställer en smidig och oavbruten körning genom att köra kopior av sig själv som barnprocesser som har unika funktioner. Andra trick som Emotet använder för att hindra statisk analys är implementeringen av en dynamiskt konstruerad importtabell och en ovanlig hashalgoritm.

Det är viktigt att notera att Emotet är medveten om sina omgivningar. Om den upptäcker att den körs i en sandlådemiljö avbryter skadlig programvara dess körning. Dessutom är vissa varianter av skadlig programvara utformade för att undvika analys genom att växla till sovläge. Som en bonus för de skadliga aktörerna döljer den här tekniken deras skadliga program för antivirusprogram.

Persistensen av Emotet Malware är oförlåtande

Emotet upprättar uthållighet genom att injicera sin kod i explorer.exe och andra processer. Det skadliga programmet samlar in känslig systeminformation och laddar upp data till en fjärr- och C-server. Hotet rapporterar den nya infektionen och får instruktioner om hur man fortsätter med attacken.

Emotet behåller sin uthållighet genom schemalagda uppgifter eller registernycklar. De nya versionerna av skadlig programvara skapar en tjänst för laddaren. För att flyga under radaren efterliknar Emotet namnen på kända körbara filer. Den kopierar också legitima tjänstebeskrivningar till sina egna nyligen skapade tjänster. Om den inte kan skapa en tjänst använder den "SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" -registret. Dessutom skapar hotet slumpmässiga namngivna filer i systemrotkatalogerna och kör dem som Windows-tjänster.

När Emotet har konstaterat uthållighet försöker den sprida sig genom det lokala nätverket. Den skadliga programvaran använder olika metoder för att sprida, inklusive brute-tvinga användarkonton och räkna upp nätverksresurser. Dess mål är att infektera alla enheter i nätverket, skörda data från dem och lägga till dem i sitt jätte nätverk av sinnelösa bots.


Bild 3. Hur Emotet sprids över en lokal nätverksbild - Källa: us-cert.gov/ncas/alerts/TA18-201A

Förebyggande av emotet kräver användarintervention

Emotets förebyggande börjar med användarnas utbildning. Denna skadliga program är beroende av sociala tekniska attacker, som kommer att misslyckas om användarna använder försiktighet och utövar säkerhetsåtgärder, förutom att följa följande tips:

  • Användare bör vara försiktiga med oväntade meddelanden, även de som kommer från kända avsändare, och inte interagera med sådant om de inte är säkra.
  • Anställning av en stark lösenordspolitik är ett måste.
  • Användare bör också välja flerafaktorautentisering när det är tillgängligt.
  • Att underhålla aktuell programvara är obligatoriskt.
  • Emotet tappar ofta skadlig programvara som utnyttjar välkända och redan korrigerade sårbarheter, till exempel EternalBlue.Anti-virus-appar, i kombination med en bra brandvägg, kan skydda din dator från en mängd hot.

US Department of Homeland Security rekommenderar att organisationer strikt följer de bästa säkerhetsrutinerna.

År Zane
January 21, 2020
Malware
Svenska
January 21, 2020
Malware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.