Emotet

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Емотет (англ. Emotet) — це штам шкідливого програмного забезпечення та операція з кіберзлочинності, вважається, походженням з РФ.[1] ШПЗ, також відоме як Heodo, було вперше виявлено у 2014, та вважалося однією з найпоширеніших загроз [?][2][3] У січні 2021, сервери були знешкодженні внаслідок проведення глобальної операції владами країн ЄС, Великої Британії, США, Канади та України, під координуванням Європолу та Євроюсту, в рамках EMPACT.[4][5]

Історія

[ред. | ред. код]

Перші версії ШПЗ Emotet функціонували як банківський троян, спрямований на викрадення банківських даних від заражених хостів. Протягом 2016 та 2017, оператори Emotet, іноді відомі як Mealybug, оновлювали троянські програми та переналаштовували їх для роботи, в основному, як «завантажувач» (тип ШПЗ, що отримує доступ до системи, а потім дозволяє своїм операторам завантажувати потрібне корисне навантаження).[6] КН другого етапу, може бути будь-який тип виконуваного коду, починаючи від власних модулів Emotet і закінчуючи ШПЗ від інших груп кіберзлочину.

Початкове зараження цільових систем часто відбувається через макровірус у вкладеннях електронної пошти. Заражена електронна пошта виглядає безпечною відповіддю на попереднє повідомлення, надіслане жертвою.[7]

Широко задокументовано, що автори Emotet використовували ШПЗ для створення бот-мережі заражених комп'ютерів, до яких вони продають доступ за моделлю «Інфраструктура як послуга» (англ. Infrastructure as a Service), в спільноті кібербезпеки називається «Шкідливе програмне забезпечення як послуга» (англ. Malware-as-a-Service), «Кіберзлочинність як послуга» (англ. Cybercrime-as-a-Service), або «Злочинне програмне забезпечення[en]» (англ. Crimeware).[8] Emotet також відомий тим, що надає доступ до заражених комп'ютерів для операцій з вимогами, таких як «угрупування Рюк[en]» (англ. Ryuk gang), що фінансується Північною Кореєю.[9]

Станом на вересень 2019, операція Emotet працювала поверх трьох окремих ботнетів під назвами Epoch 1, Epoch 2 та Epoch 3.[10]

У липні 2020, кампанії Emotet були виявлені в усьому світі, які заражали своїх жертв за допомогою Trickbot[en] та Qbot[en], що використовуються для викрадення банківських даних та розповсюдження всередині мереж.. Деякі кампанії зі зловмисним спамом, містили шкідливі документи з такими іменами, як «form.doc» або «invoice.doc». На думку дослідників безпеки, шкідливий документ запускає сценарій PowerShell для отримання КН Emotet зі шкідливих вебсайтів та заражених машин.[11]

У листопаді 2020, Emotet використовував припарковані домени для розподілу КН.[12]

У січні 2021, міжнародні дії, координовані Європолом та Євроюстом, дозволили слідчим взяти під контроль та порушити інфраструктуру Emotet.[13] Зазначені дії супроводжувалася також арештами в Україні.[14]

Примітки

[ред. | ред. код]
  1. Javier, John (28 серпня 2020). Emotet: Why did the 'most wanted' malware go on a 5-month hiatus?. The Hindu (англійською) . Архів оригіналу за 2 лютого 2021. Процитовано 12 жовтеня 2020.
  2. Emotet's Malpedia entry. Malpedia (англійською) . 3 січня 2020. Архів оригіналу за 19 січня 2021.
  3. Ilascu, Ionut (24 грудня 2019). Emotet Reigns in Sandbox's Top Malware Threats of 2019 (англійською) . Bleeping Computer. Архів оригіналу за 9 жовтня 2021.
  4. Кіберполіція викрила транснаціональне угруповання хакерів у розповсюдженні найнебезпечнішого в світі комп’ютерного вірусу «EMOTET». Кіберполіція - Національна поліція України. 27 січня 2021. Архів оригіналу за 4 лютого 2021.
  5. World’s most dangerous malware EMOTET disrupted through global action. Eurojust (англійською) . European Union Agency for Criminal Justice Cooperation. 27 січня 2021. Архів оригіналу за 31 січня 2021.
  6. Beek, Christiaan (6 грудня 2017). Emotet Downloader Trojan Returns in Force. McAfee (англійською) . Архів оригіналу за 4 лютого 2021.
  7. Schmidt, Jürgen (6 червня 2019). Trojaner-Befall: Emotet bei Heise (німецькою) . Heise Online. Архів оригіналу за 22 січня 2021.
  8. Brandt, Andrew (2 грудня 2019). Emotet's Central Position in the Malware Ecosystem. Sophos. Архів оригіналу за 25 лютого 2021. Процитовано 19 вересня 2019.
  9. Hankins, Jamie (10 січня 2019). North Korean APT(?) and recent Ryuk Ransomware attacks. Kryptos Logic (англійською) . Архів оригіналу за 7 березня 2021.
  10. Cimpanu, Catalin (16 вересня 2019). Emotet, today's most dangerous botnet, comes back to life. ZDnet. Архів оригіналу за 7 грудня 2020. Процитовано 19 вересня 2019.
  11. July 2020's Most Wanted Malware: Emotet Strikes Again After Five-Month Absence. Архів оригіналу за 4 лютого 2021. Процитовано 1 лютого 2021.
  12. Emotet uses parked domains to distribute payloads. How To Fix Guide (амер.). 30 жовтня 2020. Архів оригіналу за 6 лютого 2021. Процитовано 27 січня 2021.
  13. World’s most dangerous malware EMOTET disrupted through global action. Europol (англійською) . European Union Agency for Law Enforcement Cooperation. 27 січня 2021. Архів оригіналу за 1 лютого 2021.
  14. Cimpanu, Catalin (27 січня 2021). Authorities plan to mass-uninstall Emotet from infected hosts on April 25, 2021. Zero Day (англійською) . Архів оригіналу за 1 лютого 2021.
Отримано з https://uk.wikipedia.org/w/index.php?title=Emotet&oldid=42420276