Фишинговый ботнет Emotet возвращается с летних каникул
Исследователи угроз кибербезопасности во многих компаниях сообщают, что после явного летнего перерыва, длившегося три с половиной месяца, почтовый троян Emotet вновь превратился в активную угрозу для почтовых ящиков.
Возобновление одной из самых широко распространенных и опасных атак по электронной почте за последние несколько лет началось рано утром в понедельник 16 сентября, поражая цели по всей Европе и США, причем последняя атака впервые продемонстрировала применение испанского и итальянского языков.
Исследователи угроз из компании MalwareBytes сообщили, что в течение нескольких недель они наблюдали за работой командного и управляющего сервера (C2), где появились признаки того, что ботнет готовится активизировать свою деятельность. При этом они отметили значительные объемы фишинговых писем, обычно с темой «Уведомление о платеже».
Сложные фишинговые электронные письма часто персонализируются для своих жертв и заманивают их тем самым к открытию прикрепленного или связанного документа - обычно Microsoft Word - и позволяют макросу загружать Emotet со скомпрометированных веб-сайтов. Эти сайты, как сообщал MalwareBytes, часто работают в системе управления контентом WordPress, хотя применяются и другие методы доставки, такие как скрипты загрузчика.
Зараженные конечные точки будут затем распространять Emotet в боковом направлении на другие конечные точки в той же сети, крадя учетные данные из установленных приложений и распространяя спам через списки контактов. Этот ботнет также служит механизмом доставки пользователям других более опасных вирусов-вымогателей.
Целевая атака
Шеррод ДеГриппо, старший директор по исследованиям и обнаружению угроз в Proofpoint, заявил, что 16 сентября операторы запустили кампанию среднего размера - сотни тысяч сообщений - для организаций в Австрии, Швейцарии, Германии, Испании, Великобритании, Италии, Польше и США.
Это примечательно, потому что Emotet была одной из самых разрушительных угроз прошлого года с последовательными широкомасштабными кампаниями. В то время как приманки, как правило, не были сложными, они были локализованы и геотаргетированы. Вредоносное ПО, изначально являвшееся банковским трояном, совсем недавно стало использоваться для загрузки других вредоносных программ и распространения спама с помощью модулей для запуска дополнительных атак и кражи учетных данных.
И хотя преступники, стоящие за такими угрозами, нередко отказывались от переоснащения и развития своих атак, а иногда даже брали своеобразные «каникулы», продолжительность перерыва в Emotet была несколько необычной, особенно с учетом значимости угрозы.
Колин Грэйди, Уильям Ларджент и Джейсон Шульц из команды Cisco по исследованию угроз Talos говорят, что спустя пять лет после своего дебюта в качестве банковского трояна Emotet превратился в один из самых опасных ботнетов и вредоносных программ в мире.
Тем не менее, они заявили, что у Talos уже есть несколько новых индикаторов компрометации для защиты своих клиентов, и прежняя система обнаружения вторжений Snort все еще эффективна против этого типа атаки. Кроме того, эффективную защиту обеспечивали традиционные практики безопасности: не открывать неожиданные вложения, остерегаться электронных писем, которые кажутся неожиданными ответами на старые темы или иным образом выбиваются из контекста ситуации, использовать более надежные пароли и многофакторную аутентификацию.
Эффективное распространение
Один из самых коварных методов саморазвития Emotet основан на использовании спам-писем и методов социальной инженерии. Повторное использование Emotet украденного содержимого электронной почты чрезвычайно эффективно. После того, как они украли электронную почту жертвы, Emotet создает новые атакующие сообщения в ответ на некоторые непрочитанные сообщения электронной почты жертвы, цитируя тела реальных сообщений в темах.
Легко увидеть, как кто-то, ожидающий ответ на свое письмо как часть продолжающегося разговора, будет уверен в безопасности такого ответного письма, и это одна из причин того, что Emotet настолько эффективно распространяет себя по электронной почте. За счет использования существующих переписок, включая реальные заголовки тем и содержимого электронной почты, сообщения становятся гораздо более рандомизированными и более сложными для систем защиты от спама.
Важность проверки происхождения электронной почты с доверенным контактом с помощью офлайн-методов, таких как телефонный звонок или даже личное общение, не может быть абсолютной гарантией защиты от Emotet. Эксперты также подчеркивают, что Emotet теперь используется в качестве загрузчика для других форм вредоносного ПО.
Команда Cisco Talos пришла к выводу: «Emotet существует уже много лет, и это возрождение не вызывает удивления. Хорошая новость состоит лишь в том, что методы защиты от Emotet остаются прежними.»
Все происходящее - это удобный момент еще раз признать, что исследователи и практики в области безопасности никогда не смогут расслабиться и перестать развиваться. Даже когда группа угроз умолкает, вряд ли это значит, что они исчезнут навсегда. Скорее, это открывает возможность для этих угасающих угроз вернуться с новыми тактиками, методами и процедурами или новыми вариантами вредоносных программ, которые могут избежать существующих систем обнаружения. Службы безопасности должны понимать, что угроза не исчезает навсегда.