Полиция уничтожила «самое опасное вредоносное ПО в интернете»

В течение более чем 5-летия вредоносная программа Emotet угрожала интернету, превратилась в одного из крупнейших ботнетов в мире. Масштабное глобальное расследование объединенных сил киберполиции мира завершилось «уничтожением структуры Эмотета изнутри» и арестом предполагаемых участников преступного заговора.alt

27 января Европол объявил, что всемирная коалиция правоохранительных органов США, Канады, Великобритании, Нидерландов, Германии, Франции, Литвы и Украины разрушила «самую опасную вредоносную программу в мире». Глобальная операция «Божья коровка» координировалась с частными исследователями в области безопасности, чтобы разрушить и захватить командно-контрольную инфраструктуру Emotet, расположенную в более чем 90 странах.

Видео рейда демонстрирует захват у предполагаемых операторов Emotet компьютерного оборудования, денег и золотых слитков. Инфраструктура Emotet по сути выступала в качестве основного средства взлома компьютерных систем в глобальном масштабе, заявил Европол. По данным голландской полиции, Emotet причинил ущерб в сотни миллионов долларов. Украинские правоохранители оценивают ущерб в $2,5 млрд. Ботнет распространялся в основном через спам, содержащий вредоносные ссылки и документы Microsoft Office, зараженные испорченными макросами, и стал известен тем, что устанавливал на компьютеры жертв все виды хакерского ПО, от банковских троянов до программ-вымогателей.

«Операторы ботнета заработали репутацию особенно опытных в обходе спам-фильтров», – говорит Мартейн Гроотен, независимый исследователь безопасности и бывший организатор конференции Virus Bulletin, который отслеживал Emotet в течение многих лет. Киберпреступники использовали скомпрометированные почтовые серверы для массовой рассылки своих приманок по электронной почте и распространять их по сетям компаний после того, как жертва попадется на наживку. Операторы Emotet сотрудничали с другими киберпреступными бандами, продавая доступ тем, кто занимается воровством и программами-вымогателями. Это помогло развить другие крупные бот-сети, такие как Trickbot, который заразил более миллиона компьютеров, прежде чем был частично разрушен коалицией индустрии безопасности и Киберкомандованием США в октябре. «Они особенно хорошо умели прятаться за защитой компаний», – говорит Груотен. «Вы просто кликаете на вложенный документ Word, включаете макросы, и оказывается, что доступ к вашему компьютеру был продан оператору программы-вымогателя, а вашу компанию выкупили за $2 млн».

Чтобы уничтожить Emotet, полиция и большая группа профессионалов индустрии безопасности одновременно захватила сотни командно-управляющих серверов Emotet. Чтобы отрезать управление ботнета, они незаметно подменили на свои собственные компьютеры по IP-адресам командно-управляющих пунктов, взяли на себя управление всеми критически важными серверами управления и контроля.

Операции по удалению ботнета в прошлом имели лишь переменный успех: киберпреступники часто быстро восстанавливались после попытки удаления. Например, сейчас считается, что даже попытка Cyber Command стерилизовать ботнет Trickbot привела к краткосрочным проблемам его операторов, которые разработали новые версии своего вредоносного ПО и добились прогресса в восстановлении.

Операция «Эмотет», напротив, должна обезглавить вредоносное ПО навсегда. В своем заявлении об уничтожении Emotet голландская полиция отмечает, что они обнаружили и нарушили систему резервного копирования инфраструктуры, что, как они «надеются ... серьезно затруднит восстановление Emotet». Исследователь безопасности, который участвовал в удалении, подтвердил, что операция отслеживала процессы резервного копирования хакеров, чтобы убедиться, что не было никаких неизвестных скрытых методов восстановления, и считает, что все резервные копии были прерваны. Восстановиться в подобном случае очень трудно, но даже если получится, у киберполиции уже есть план Б.

Тем не менее, голландская полиция предупреждает, что потенциальные жертвы должны проверить, были ли их компьютеры частью ботнета Emotet, используя инструмент «Emotet Checker», который они выпустили. Маркус Хатчинс, исследователь безопасности компании Kryptos Logic, который годами отслеживал Emotet и другие бот-сети, предупредил, что всем, чьи машины были заражены, следует осторожно очистить свои системы, несмотря на удаление Emotet; он предупреждает, что они все еще могут быть поражены вторичным вредоносным ПО, которое партнеры Emotet ранее загрузили на свои компьютеры, например TrickBot или QakBot.

Если Emotet уничтожен окончательно, это может стать серьезным ударом для операторов программ-вымогателей по всему миру, которые нанесли ущерб на миллиарды долларов и даже поставили под угрозу жизни в больницах, ставших объектами их попыток вымогательства, говорит исследователь безопасности Мартин Гротен. Но отсрочка, тем не менее, может быть недолгой. «Многие операции каким-то образом будут нарушены, но в глобальной схеме вещей злоумышленники могут выжить без Emotet», – говорит Груотен. «Если вы полагались на Emotet для первоначального доступа, вместо этого вам придется задействовать что-нибудь еще, чтобы получить его».

WIRED

Обновлено 28.01.2021 16:43