22 июня 2022

Emotet наращивает активность и функционал

Опе­рато­ры бот­не­та Emotet, ко­торый во­зоб­но­вил ра­боту пос­ле зак­ры­тия ин­фраст­рук­ту­ры в ян­ва­ре 2021 г., нау­чи­лись по­хищать пла­теж­ные дан­ные, сох­ра­нен­ные в брау­зе­ре Chrome и про­дук­тах на его ос­но­ве, в том чис­ле и рос­сий­ских. Так­же злов­ред мо­жет по­хищать дан­ные жертв и про­водить раз­ведку в кор­по­ратив­ных се­тях.

Возросла активность ботнета, по данным Eset, в 100 раз по сравнению с началом года. Emotet запущен в 2014 г. и в первое время представлял собой банковский троянец, который занимался похищением денег с банковских карт жертв. Но со временем инфраструктура Emotet трансформировалась в полноценный ботнет второго уровня, который доставляет разнообразные вредоносные программы от разных группировок.

Применение данного ботнета позволяло похищать данные пользователей, проводить разведку в сетях, если речь идет об инфраструктуре компаний. Несколько позже к этим функциям добавились шифровальщики, которые загружали зловреды Qbot и TrickBot. Операторы ботнета сдавали его в аренду всем желающим, в том числе враждующим кибергруппировкам.

"Emotet, Ryuk и Trickbot - далеко не единственные инструменты, которые объединяются для доставки программ-вымогателей. Мы также обнаружили связи между некоторыми участниками Dridex и DanaBot, вероятно, для доставки программ-вымогателей. Операции MaaS (Malware as a service, вредоносное ПО как услуга) нельзя списывать со счетов как просто товарное вредоносное ПО, поскольку их клиентский пул включает в себя очень квалифицированные группы, которые могут и будут причинять серьезный ущерб, если им будет позволено это сделать", - говорилось в отчете Intel 471 Malware Intelligence, опубликованном еще в апреле 2020 г. Ботнет назван наиболее опасным из работавших в то время. С его помощью проведено множество атак с использованием шифровальщиков в странах ЕС, Канаде и США. Злоумышленники заражали инфраструктуру не только коммерческих компаний, но также образовательных и медицинских учреждений.

"Emotet нацелен как на отдельных пользователей, так и на компании, организации и государственные учреждения. В 2018 г. 450 компьютеров больницы города Фюрстенфельдбрук (Германия) заразились Emotet. Чтобы остановить эпидемию, пришлось отключить устройства и выйти из системы спасательно-координационного центра. В сентябре и декабре 2019 г. пострадали апелляционный суд Берлина и Гисенский университет. Также в числе жертв оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне", - такие данные об Emotet приводит в своем корпоративном блоге "Лаборатория Касперского". Также аналитики российского вендора предупреждают, что с 2019 г., помимо Windows, Emotet научился заражать системы на платформе Mac. Так что в относительной безопасности находятся те, кто использует системы на базе Linux, в том числе российские.

В январе 2021 г. инфраструктура Emotet была отключена в ходе совместной операции, которую провели правоохранительные органы ряда европейских стран. Управляющий центр находился на территории Украины. На завершающей стадии операции германские полицейские с помощью самой сети ботнета распространили программный модуль, который деактивирует зловред на зараженных системах.

Однако уже в ноябре 2021 г. Emotet был восстановлен на базе инфраструктуры TrickBot. А по данным к концу мая, представленным словацким антивирусным вендором Eset, активность ботнета выросла в 100 раз по сравнению с началом года. Схожие выводы сделали также специалисты исследовательской компании Cryptolaemus.

Росла и функциональность ботнета. "Несколько дней назад мы обнаружили, что в ботнете Emotet используется новый модуль - похититель данных банковских карт, который нацелен только на браузер Google Chrome. Причем после сбора платежных данных они отправляются напрямую злоумышленникам, а не в этот модуль", - отметили в компании Proofpoint. Также эксперты Proofpoint отметили, что Emotet перестал использовать для своего распространения макросы в документах MS Office, перейдя к применению скриптов на PowerShell.

Данный модуль может работать и в российских браузерах, которые все без исключения используют тот же движок, что и Chrome. "Подавляющее большинство современных браузеров используют движок Chromium. Это и сам Google Chrome, и Opera, и даже Microsoft Edge. Сюда же относится и "Яндекс.Браузер". Из популярных браузеров на собственном движке можно отметить лишь Mozilla Firefox. Но нужно иметь в виду, что вредоносные программы разрабатываются в том числе и с учетом Firefox, - считает руководитель направления защиты прикладных систем компании "Сиссофт" Валерий Ледовской. - Российские браузеры подвержены влиянию таких вредоносных программ, как Emotet, - браузеры используют код сторонних разработчиков, а также открытый код. Учитывая, что самостоятельно написать весь браузер с нуля невозможно, нельзя сказать, что российское происхождение браузеров само по себе защищает их пользователей от воздействия вредоносных программ".

"Emotet заражает в первую очередь компьютеры, а не браузеры, поэтому, как только троян попал в вашу систему, он может воровать данные из любого программного обеспечения, установленного на компьютере, в том числе и из российских браузеров. Кража наиболее проработана в браузере Chrome только из-за его популярности. Около 70% пользователей в мире используют браузер Chrome, в то время как, например, браузер Opera - 2%, а российские браузеры - менее 1%. Emotet не только крадет данные, но и выполняет множество различных зловредных действий на зараженном устройстве - например, рассылает спам-сообщения от имени пользователя с вложенным вредоносным макросом Microsoft Office, который ставит Emotet уже на компьютере получателя, тем самым размножает себя", - рассказывает ведущий инженер CorpSoft24 Михаил Сергеев.

Не исключено, что Emotet будет атаковать российских пользователей и с политической мотивацией. "В зоне риска не только компании, потенциально способные заплатить выкуп, например из промышленности и финансов, но и структуры, атаки на которые могут вызвать общественный резонанс", - предупредил руководитель направления Application Security компании Softline Алексей Чупринин. Примером такой атаки является вывод из строя видеохостинга Rutube в мае текущего года.

Источник: Comnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend