Опе­рато­ры бот­не­та Emotet, ко­торый во­зоб­но­вил ра­боту пос­ле зак­ры­тия ин­фраст­рук­ту­ры в ян­ва­ре 2021 г., нау­чи­лись по­хищать пла­теж­ные дан­ные, сох­ра­нен­ные в брау­зе­ре Chrome и про­дук­тах на его ос­но­ве, в том чис­ле и рос­сий­ских. Так­же злов­ред мо­жет по­хищать дан­ные жертв и про­водить раз­ведку в кор­по­ратив­ных се­тях.

Возросла активность ботнета, по данным Eset, в 100 раз по сравнению с началом года. Emotet запущен в 2014 г. и в первое время представлял собой банковский троянец, который занимался похищением денег с банковских карт жертв. Но со временем инфраструктура Emotet трансформировалась в полноценный ботнет второго уровня, который доставляет разнообразные вредоносные программы от разных группировок.

Применение данного ботнета позволяло похищать данные пользователей, проводить разведку в сетях, если речь идет об инфраструктуре компаний. Несколько позже к этим функциям добавились шифровальщики, которые загружали зловреды Qbot и TrickBot. Операторы ботнета сдавали его в аренду всем желающим, в том числе враждующим кибергруппировкам.

"Emotet, Ryuk и Trickbot - далеко не единственные инструменты, которые объединяются для доставки программ-вымогателей. Мы также обнаружили связи между некоторыми участниками Dridex и DanaBot, вероятно, для доставки программ-вымогателей. Операции MaaS (Malware as a service, вредоносное ПО как услуга) нельзя списывать со счетов как просто товарное вредоносное ПО, поскольку их клиентский пул включает в себя очень квалифицированные группы, которые могут и будут причинять серьезный ущерб, если им будет позволено это сделать", - говорилось в отчете Intel 471 Malware Intelligence, опубликованном еще в апреле 2020 г. Ботнет назван наиболее опасным из работавших в то время. С его помощью проведено множество атак с использованием шифровальщиков в странах ЕС, Канаде и США. Злоумышленники заражали инфраструктуру не только коммерческих компаний, но также образовательных и медицинских учреждений.

"Emotet нацелен как на отдельных пользователей, так и на компании, организации и государственные учреждения. В 2018 г. 450 компьютеров больницы города Фюрстенфельдбрук (Германия) заразились Emotet. Чтобы остановить эпидемию, пришлось отключить устройства и выйти из системы спасательно-координационного центра. В сентябре и декабре 2019 г. пострадали апелляционный суд Берлина и Гисенский университет. Также в числе жертв оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне", - такие данные об Emotet приводит в своем корпоративном блоге "Лаборатория Касперского". Также аналитики российского вендора предупреждают, что с 2019 г., помимо Windows, Emotet научился заражать системы на платформе Mac. Так что в относительной безопасности находятся те, кто использует системы на базе Linux, в том числе российские.

В январе 2021 г. инфраструктура Emotet была отключена в ходе совместной операции, которую провели правоохранительные органы ряда европейских стран. Управляющий центр находился на территории Украины. На завершающей стадии операции германские полицейские с помощью самой сети ботнета распространили программный модуль, который деактивирует зловред на зараженных системах.

Однако уже в ноябре 2021 г. Emotet был восстановлен на базе инфраструктуры TrickBot. А по данным к концу мая, представленным словацким антивирусным вендором Eset, активность ботнета выросла в 100 раз по сравнению с началом года. Схожие выводы сделали также специалисты исследовательской компании Cryptolaemus.

Росла и функциональность ботнета. "Несколько дней назад мы обнаружили, что в ботнете Emotet используется новый модуль - похититель данных банковских карт, который нацелен только на браузер Google Chrome. Причем после сбора платежных данных они отправляются напрямую злоумышленникам, а не в этот модуль", - отметили в компании Proofpoint. Также эксперты Proofpoint отметили, что Emotet перестал использовать для своего распространения макросы в документах MS Office, перейдя к применению скриптов на PowerShell.

Данный модуль может работать и в российских браузерах, которые все без исключения используют тот же движок, что и Chrome. "Подавляющее большинство современных браузеров используют движок Chromium. Это и сам Google Chrome, и Opera, и даже Microsoft Edge. Сюда же относится и "Яндекс.Браузер". Из популярных браузеров на собственном движке можно отметить лишь Mozilla Firefox. Но нужно иметь в виду, что вредоносные программы разрабатываются в том числе и с учетом Firefox, - считает руководитель направления защиты прикладных систем компании "Сиссофт" Валерий Ледовской. - Российские браузеры подвержены влиянию таких вредоносных программ, как Emotet, - браузеры используют код сторонних разработчиков, а также открытый код. Учитывая, что самостоятельно написать весь браузер с нуля невозможно, нельзя сказать, что российское происхождение браузеров само по себе защищает их пользователей от воздействия вредоносных программ".

"Emotet заражает в первую очередь компьютеры, а не браузеры, поэтому, как только троян попал в вашу систему, он может воровать данные из любого программного обеспечения, установленного на компьютере, в том числе и из российских браузеров. Кража наиболее проработана в браузере Chrome только из-за его популярности. Около 70% пользователей в мире используют браузер Chrome, в то время как, например, браузер Opera - 2%, а российские браузеры - менее 1%. Emotet не только крадет данные, но и выполняет множество различных зловредных действий на зараженном устройстве - например, рассылает спам-сообщения от имени пользователя с вложенным вредоносным макросом Microsoft Office, который ставит Emotet уже на компьютере получателя, тем самым размножает себя", - рассказывает ведущий инженер CorpSoft24 Михаил Сергеев.

Не исключено, что Emotet будет атаковать российских пользователей и с политической мотивацией. "В зоне риска не только компании, потенциально способные заплатить выкуп, например из промышленности и финансов, но и структуры, атаки на которые могут вызвать общественный резонанс", - предупредил руководитель направления Application Security компании Softline Алексей Чупринин. Примером такой атаки является вывод из строя видеохостинга Rutube в мае текущего года.

Источник: Comnews