Oživenie malvéru Emotet spôsobí pravdepodobne najväčšiu zmenu ekosystému hrozieb v roku 2022. Kybernetická bezpečnosť má novú ligu – ekonomickú aj politickú.

Neprekonateľný malvér vo svojej triede

Schopnosti a výkon Emotetu dokonalo spĺňajú požiadavky súčasného trhu počítačovej kriminality. Vyznačuje sa vysokou mierou automatizácie, modulárnosti a mimoriadnou prispôsobivosťou. Najčastejšie a najintenzívnejšie útočí na vzdelávacie a výskumné organizácie, vládne aj vojenské organizácie, finančný sektor či na poskytovateľov internetových služieb.

Sťahuje do počítača obsah z online zdrojov bez toho, aby používateľa výslovne upozornil. Samotný program označený ako downloader či loader často nie je škodlivý sám osebe, ale útočníci ho používajú na inštaláciu malvéru či iného obsahu.

Legendárna minulosť

Ako najničivejší malvér v povestných časoch Emotet disponoval silou botnetovej siete 1,5 milióna serverov. Jeho hlavnými zákazníkmi boli vysoko organizované ransomvérové skupiny, ktoré sa tak dostali k infikovaným systémom obete a prístup využívali na nasadenie malvéru QBot či TrickBot. Oba sú agresívne modulárne malvéry, pôvodne bankové trojany, veľmi perzistentné a špecializujúce sa na Windows.

V januári 2021 bol Emotet vyradený z prevádzky po spoločnom koordinovanom zákroku FBI a Europolu, ktorým sa podarilo prevziať kontrolu nad infraštruktúrou. Onedlho nato, neprekvapivo, ukončil činnosť ransomvérový gang Ryuk.

Bezpečnostný tím Advintelu ešte koncom roka 2021 prišiel s tvrdením „na základe viditeľnosti do priestoru protivníka“, že členovia kyberzločineckej skupiny Ryuk presvedčili operátorov Emotetu, aby vystavali sieť nanovo a aktivovali moduly. Návrat bol možný len s podporou TrickBotu, keďže Emotet pri návrate využíval na prestavbu botnetu jeho funkčnú infraštruktúru. Ryuk už operuje pod názvom Conti a partnerstvo s Emotetom a TrickBotom umožní návrat historicky najúspešnejšej ransomvérovej triády.

Opäť zmena taktiky

V decembri objavili odborníci nový vektor útoku. Ide o súbor programu Excel, ktorý obsahuje obfuskované makro Excel 4.0. Ak je makro aktivované, stiahne a spustí HTML aplikáciu, ktorá stiahne dve fázy PowerShell na získanie a spustenie konečného Emotet payloadu. V niektorých prípadoch Emotet používa ako prílohu k e-mailu zaheslované .ZIP súbory.

Zaheslovaný súbor .ZIP obsahuje jeden dokument Excel s makrami Excel 4.0. Makrá často zneužívajú kybernetickí zločinci, lebo na stiahnutie škodlivého obsahu stačilo iba povolenie na počítači obete. Infikované počítače ďalej šíria silnú malspamovú kampaň s cieľom sťahovania škodlivých súborov .ZIP chránených heslom, ktoré infikujú ďalšie zariadenia. Spôsobí to opakovanie infekčného cyklu a umožní tak Emotetu obnoviť botnetovú sieť. Odpoveďou Microsoftu tak bola v januári deaktivácia makier Excelu 4.0 v najnovšom vydaní softvéru.

Rapídny progres

Emotet sa pravdepodobne sústredí na budovanie troch samostatných botnetov známych ako Epochy. Zlepšil prevádzku a vrátil sa s balíkom nástrojov doplneným o nové triky na oklamanie obete. Používanie kryptografie na báze eliptických kriviek namiesto RSA kryptografie či pridanie počiatočnej infekcie pomocou inštalačných balíkov škodlivých aplikácií pre Windows, ktoré napodobňujú legitímny softvér.

Na základe aktivít z prelomu rokov aj výskumníci Esetu očakávajú, že v roku 2022 sa botnet Emotetu rýchlo rozšíri a on sám sa vráti na vedúcu pozíciu rodiny dowloaderov. Hlavným dôvodom je vysokokvalitný malvérový spam zneužívajúci pravý e-mail a jeho distribúcia potenciálnym obetiam prostredníctvom kradnutých legitímnych e-mailových účtov.

Už v januári toho roku potvrdil report CheckPoin Research prvé miesto pre Emotet v globálnom malvérovom rebríčku. Postihol šesť percent organizácií vo svete a prvá vlna spôsobila škody okolo 2,5 miliardy amerických dolárov.

Prečo je to také dôležité?

Partnerstvo Emotet-TrickBot-Conti je pre syndikát Conti skladačka, ktorá mu umožní takmer monopol na trhu ransomvéru a mimoriadny ekonomický a politický vplyv, ako prezentoval aj v prípade ukrajinského konfliktu. Syndikát preferuje „udržateľné“ metódy operácií od počiatočného prístupu až po vyjednávanie. To, čo im chýbalo, bol agilný a strategický downloader.

Skupiny RaaS (Ransomware as a Service) sa totiž spoliehajú predovšetkým na masívne šírenie spamu nízkej kvality, zneužívanie zraniteľnosti exponovaných protokolov vzdialeného prístupu a sietí VPN. Väčšina ich ofenzívnych schopností je založená na kontraktoch s dodávateľmi, ktorí majú za úlohu získať počiatočný prístup a spoliehajú sa na zneužitie logov alebo prístupových práv.

Aj keď tento model „spray-and-pray“ spočiatku umožňoval bez veľkého úsilia zásah zraniteľných koncových bodov, od roku 2021 sa vďaka opravám, zvyšovaniu kybernetickej hygieny, auditom a iným opatreniam nedá naň úplne spoliehať. A preto sofistikovanosť a modulárnosť robí zo spamových kampaní Emotetu neprekonateľnú výhodu pre útočníkov a nočné mory pre obrancov.

Rada?

Rozmýšľajte ešte viac. Skôr ako na nejaký link kliknete, rozmýšľajte. Množia sa rôzne formy správ (aj vo forme SMS) s nástojčivými textami ako Rozhodli sme sa zrušiť váš účet, Prihláste sa tu, aby ste získali prostriedky skôr ako bude váš účet úplne zatvorený. Link na prihlásenie tu. A stále, až neuveriteľne funguje Váš balíček číslo UZ586127 je k dispozícii: link na info tu.

Emotet

Malvér vznikol ako bankový trojan a šíri sa internetom s prestávkami od roku 2014. V minulosti sa objavili prípady, kde Emotet a jeho moduly fungovali v systéme viac než šesť mesiacov, prípadne až 18 mesiacov. Celý čas menili nepozorovane dáta. Zákerné bolo, že údaje zo systému nezmizli, len sa nebadane menil ich obsah, takže zálohy boli zbytočné. Pozmenené dáta sa premietli aj do zálohy. Tradičné strážne (gateway) a analytické systémy, ako sú firewally a antivírusový softvér, nemajú proti útokom Emotetu šancu. Vyžaduje si opatrenia, ktoré idú hlbšie, či karanténny systém secunet safe surfer. 

^Zdroje

^{Evolúcia malvéru. Od oštepu k dynamitu}

^{Corporate Loader Emotet History of X Project Return for Ransomware}

^{Emotet Spreading Malicious Excel Files}

^{Eset Threa Report T3 2021}

^{Microsoft: Now we're switching off Excel 4.0 macros by default}

^{When Old Friends Meet Again. Why Emotet Chose Trickbot for Rebirth}

^{January 2022s Most Wanted Malware Lokibot Returns to the Index and Emotet Regains Top Spot}

^{Russia Based Ransomware Group Conti Issues Warning Kremlin Foes}