Według IBM X-Force, malware o nazwie Emotet panoszy się ostatnio w Niemczech i Japonii coraz agresywniej atakując firmy. Co dziesiąta spółka w Polsce zaatakowana.
Emotet to trojan bankowy, który rozprzestrzenia się poprzez załączniki do wiadomości email zawierające linki do szkodliwych stron. Pełni on rolę mechanizmu pobierającego inne złośliwe oprogramowanie – trojana TrickBot i ransowmware Ryuk. Dzięki swojej polimorficznej naturze, potrafi on ominąć tradycyjne metody wykrywania zagrożeń oparte na sygnaturach, co powoduje że jest trudny do zwalczenia. Kiedy dostanie się do systemu, zakaża działające procesy i łączy się ze zdalnym serwerem C&C, skąd odbiera polecenia, np. pobierania lub wysyłania skradzionych danych (us-cert.gov).
Zazwyczaj Emotet wykorzystuje fałszywe firmowe wiadomości e-mail wzywające do zapłaty faktur, często podszywając się pod znane marki zaufanych instytucji. Ta strategia pozwoliła mu dotrzeć do ofiar w USA (52% ataków), Japonii (22%) i krajach Unii Europejskiej (japan.zdnet.com). Incydent odnotowany w grudniu 2019 spowodował, że miasto Frankfurt, gdzie znajduje się siedziba Europejskiego Banku Centralnego, musiało wyłączyć swoją sieć (zdnet.com). Według najnowszego raportu Check Point Research, co dziesiąta polska spółka w ostatnim półroczu padła ofiarą Emoteta (cyberdefence24.pl za Check Point).
Infekcje Emotet według kraju
W Japonii malware działa z dużo większą agresją w porównaniu do poprzednich lat. Zwiększona aktywność została odnotowana pod koniec 2019 roku, a ostatnio, w związku z wybuchem epidemii koronawirusa w Chinach, Emotet zmienił swoją taktykę i teraz rozprzestrzenia się w Japonii w formie fałszywych ostrzeżeń zdrowotnych z niepokojącymi doniesieniami o przypadkach koronawirusa w prefekturach Gifu, Osaki i Tottori (IBM X-Force Exchange).
Ten przykład dobrze pokazuje dlaczego ten rodzaj malware jest tak niebezpieczny – nie tylko jest odporny na wykrycie metodami opartymi na sygnaturach, ale również manipuluje ludzkimi emocjami aby się rozpowszechniać.
Ochrona przed Emotet wymaga zatem bardziej złożonych środków. Oprócz profilaktyki, skutecznym sposobem radzenia sobie z nim jest wykrywanie wskaźników włamania (IoC) oparte na analizie behawioralnej. Może stosować ono wzorce zachowań, w tym taki, który opisuje symptomy obecności Emotet w sieci.
Taki wzorzec o nazwie InformationStealers jest standardowym elementem wykorzystywanym do wykrywania zagrożeń przez Flowmon ADS – mówi Artur Kane, Dyrektor Marketingu Produktowego we Flowmon Networks. BPatterns można określić jako opis, w jaki sposób różne zagrożenia dają znać o swojej obecności w sieci. Pozwalają one systemowi odróżnić zagrożenia od innych działań, kiedy monitoruje i ocenia ruch. W przeciwieństwie do tradycyjnie wykorzystywanych sygnatur, BPatterns nie szukają konkretnego fragmentu kodu, dlatego mają zdolność do identyfikacji zagrożeń nawet jeśli one zmieniają się i rozwijają w swoim cyklu życiowym.
Zgodnie z analizą opublikowaną przez Fortinet, Emotet wykorzystuje 5 adresów URL do pobierania danych i 61 zakodowanych na stałe serwerów C&C (fortinet.com/blog). Informacja ta jest zawarta w BPattern i może być użyta przez system do rozpoznania infekcji i powstrzymania jej przed rozprzestrzenianiem się. Jako dodatkowa warstwa ochrony jest również stworzony BPattern dla TrickBota (TOR_Malware). Obydwa wzorce są okresowo aktualizowane w zależności od rozwoju trojanów i są dostarczane do użytkowników wraz z regularnymi aktualizacjami systemu. Najnowsza aktualizacja powstała dzięki japońskiemu partnerowi Flowmon Networks – Orizon Systems – który powiadomił dostawcę systemu o zwiększonej aktywności Emotet – dodaje Kane.
Oczywiście żadne środki bezpieczeństwa nie są niezawodne i zaleca się utrzymywać kilka warstw ochrony oraz dbać o ich aktualność – w tym antywirus, wykrywanie wskaźników IoC na firewallach, systemy wykrywania włamań (IDS) oraz analizę behawioralną w sieci. Ponieważ Emotet rozprzestrzenia sią przez sfałszowane wiadomości email, użytkownicy powinni zachować ostrożność otwierając załączniki, zwłaszcza te, które zawierają faktury lub inne dokumenty od podmiotów zewnętrznych i zgłaszać każdy podejrzany przypadek do działu bezpieczeństwa.