Автор: Джон П. Мелло-младший
27 апреля 2021 г., 4:00 утра по тихоокеанскому времени
Печально известное программное обеспечение ботнета Emotet начало самоустанавливаться примерно с миллиона компьютеров в воскресенье.
Согласно SecurityWeek, команда удаления была частью обновления, отправленного на зараженные компьютеры серверами правоохранительных органов в Нидерландах после того, как инфраструктура Emotet была взломана в январе во время многонациональной операции, организованной восемью странами.
Отравленное обновление очищает раздел реестра Windows, который позволяет модулям ботнета запускаться автоматически, а также останавливать и удалять связанные службы.
«Угроза, исходящая от Emotet, уже была нейтрализована путем захвата всей сетевой инфраструктуры правоохранительными органами в январе прошлого года», — пояснил Жан-Ян Бутен, руководитель отдела исследования угроз Eset, компании по обеспечению информационной безопасности, базирующейся в Братиславе в Словацкая Республика.
«Наш постоянный мониторинг Emotet показывает, что операция прошла успешно», — сказал он TechNewsWorld.
«В воскресенье была активирована процедура очистки скомпрометированных систем, подключенных к инфраструктуре, контролируемой правоохранительными органами», — продолжил он. «Обновление удаляет механизмы устойчивости Emotet, эффективно предотвращая попадание угрозы на любые серверы управления и контроля в будущем».
По данным Министерства юстиции США, Emotet заразил 1,6 миллиона компьютеров во всем мире с 1 апреля 2020 года по 17 января 2021 г. и нанес ущерб жертвам во всем мире на миллионы долларов
По оценкам Агентства по кибербезопасности и инфраструктуры США, лечение заражения Emotet обходится местным, государственным, племенным и территориальным правительствам до 1 миллиона долларов США за каждый инцидент.
Содержание статьи
Машины по-прежнему в опасности
Хотя Emotet нейтрализован, зараженные им машины остаются в опасности.
«Сам Emotet не был известен множеством злонамеренных действий, особенно в его последних версиях», — заметил Чет Вишневски, главный научный сотрудник Sophos, британской компании по сетевой безопасности и управлению угрозами.
«Он был известен тем, что приносил с собой другое вредоносное программное обеспечение, что, вероятно, использовалось до того, как полиция захватила инфраструктуру управления и контроля», — сказал он TechNewsWorld. «Его удаление не влияет на другое вредоносное ПО, которое оно могло иметь с собой».
Бутин отметил, что за последние два года Emotet активно распространял по крайней мере шесть различных семейств вредоносных программ: Ursnif, Trickbot, Qbot, Nymaim, Iceid и Gootkit.
«После установки семейства вредоносных программ работают независимо от Emotet», — сказал он. «Следовательно, оба должны быть уничтожены, чтобы система была свободна от вредоносных программ».
«Разрыв между удалением сетевой инфраструктуры и воскресной операцией по очистке должен был позволить затронутым организациям найти эти различные семейства вредоносных программ и принять меры. необходимые шаги для очистки их сети », — пояснил он.
Деактивацию Emotet можно рассматривать как первый шаг в восстановлении этих машин, но это далеко не единственный шаг », — добавил Кристофер Филдер, директор по маркетингу продуктов Arctic Wolf, производителя облачного программного обеспечения SIEM.
«Эти машины по-прежнему должны считаться скомпрометированными и оцениваться с использованием эффективного плана реагирования на инциденты», — сказал он TechNewsWorld.
Уведомляются ли владельцы зараженных машин о возможности дальнейшего заражения, — отметил он. Дирк Шрейдер, глобальный вице-президент New Net Technologies, поставщика программного обеспечения для обеспечения ИТ-безопасности и соответствия требованиям из Неаполя, штат Флорида.
«Было бы, безусловно, полезно предупредить владельца системы о том, что необходим дальнейший криминалистический анализ, "- заметил он.
Значительное достижение
Удаление Эмотета из ландшафта угроз — большое достижение, — утверждал Вишневски." Это было одним из самых опасных и плодотворных «Угрозы электронной почты в мире», — сказал он.
«Я думаю, что первоначальная ликвидация и приобретение командной инфраструктуры были фантастическими, и мы хотели бы увидеть больше», — добавил он.
«Эта последняя акция, однако, кажется не такой полезной и больше похожа на пиар-ход, чем на то, что может защитить общественность», — отметил Вишневски.
«Удаление очень важно», добавил Виней Пидатала, директор по исследованиям в области безопасности Menlo Security, компании, занимающейся кибербезопасностью, из Маунтин-Вью, Калифорния.
Он отметил, что среди глобальной клиентской базы Menlo Security Emotet был основным вредоносным ПО, от которого оно защищало клиентов в 2020 году.
«Emotet также был ответственен за множество заражений программами-вымогателями, поэтому уничтожение такой широко распространенной платформы распространения вредоносных программ полезно для Интернета», — добавил он.
Так же приятно, как и уничтожение Emotet хаос, который он нанес бесчисленным сетям ks за семь лет вызывает тревогу, — заявил Хитеш Шет, президент и генеральный директор Vectra AI, поставщика решений для автоматического управления угрозами, базирующегося в Сан-Хосе, Калифорния.
«Мы должны стремиться к расширению международного сотрудничества в области кибербезопасности плюс лучшее время отклика », — сказал он TechNewsWorld.
« Никто из нас не знает, сколько вредоносных программ-родственников Emotet наносят больше вреда прямо сейчас, — сказал он, — но если на нейтрализацию каждого потребуется семь лет, мы останемся в длительном кризисе ».
Одной из причин, по которой Emotet потребовалось так много времени, была сложность его сетевой инфраструктуры.
« Благодаря нашему долгосрочному отслеживанию ботнета мы идентифицировали сотни серверы управления и контроля, организованные на разных уровнях и разбросанные по всему миру, — пояснил Бутин. «Для успеха операции необходимо было отключить все эти C&C серверы одновременно, что было очень сложной задачей».
Проблемы конфиденциальности
Эксперты по безопасности в целом хвалили правоохранительные органы за то, что они закрыли Emotet, хотя у некоторых были опасения по поводу этих действий.
«Я считаю, что уничтожения критически важны, и правоохранительные органы важны для того, чтобы иметь возможность ускорить, а также выделить необходимое количество ресурсов для масштабных мероприятий. Эти действия заслуживают похвалы», — заметил Пидатала.
Бутин отметил, что удаление не ограничивалось отключением инфраструктуры ботнета, а пошло дальше, арестовав лиц, подозреваемых в причастности к Emotet.
«Осуществление процедуры удаления на зараженных системах было вишенкой на торте», — сказал он. «Надеюсь, это действие послужит справочным материалом и сделает будущие операции по ликвидации последствий проще и эффективнее».
Однако Остин Мерритт, аналитик по киберугрозам из Digital Shadows, поставщика цифровых решений для защиты от рисков из Сан-Франциско , отметил, что удаление может вызвать некоторые проблемы с конфиденциальностью.
«Люди, ставшие целью Emotet, могут быть обеспокоены тем, что участие ФБР может позволить им без разбора проникнуть в компьютеры жертв и посмотреть, что там есть», — сказал он TechNewsWorld. «Следовательно, могут возникнуть опасения, что правоохранительные органы получат от них закрытую информацию».
Хотя автоматическое удаление вредоносных программ кажется отличным ответом на эти инфекции, особенно в крупных развертываниях, таких как Emotet, есть некоторые этические проблемы с этим подходом, — добавил Эрих Крон, защитник осведомленности в области безопасности в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида
«Отчасти проблема в том, что правоохранительные органы активно удаляют файлы с частных устройств», — сказал он TechNewsWorld. «Даже при самых лучших намерениях это может стать проблемой».
Ошибки кодирования потенциально могут вызвать сбои и потерю доходов или услуг в будущих действиях по автоматическому удалению вредоносных программ, — пояснил он.
«Кроме того, — продолжил Крон, — может отсутствовать уведомление для затронутых организаций. Это может стать проблемой, если процесс автоматического удаления происходит в то же время, когда администраторы устройства собирают или удаляют данные криминалистической экспертизы. сами вредоносные программы. Без координации это может стать серьезной проблемой для организации ».
« Эта тенденция, хотя и полезна в краткосрочной перспективе, является темой, которая должна быть дополнительно обсуждена в отрасли кибербезопасности с акцент на том, как управлять уведомлениями для тех, чьи устройства были изменены, управлять надзором и, возможно, вообще отказаться от этих действий правоохранительных органов », — добавил он. 
