SG.hu
Az Emotet kártevőre figyelmeztet a Sophos
Ötéves életútja során az az áldozatok banki hitelesítő adatait csendben ellopó trójai szoftverből egy kifinomult és széleskörben alkalmazott, más típusú kártevők terjesztésére szolgáló platformmá fejlődött, legfőképpen más banki trójaiaké.
Az Emotet káros spam kampányokban érkezik és bármilyen komponenst szállíthat, amivel csak pénzt lehet keresni. Ez idén eddig jellemzően a TrickBot és QBot banki trójai szoftvereket jelentette, de kapcsolták már a BitPaymerhez is - egy kifinomult zsarolóvírus típushoz, amely nyolcszámjegyű váltságdíjakat zsarol ki. 2018 júliusában az US-CERT (United States Computer Emergency Readiness Team, azaz az Egyesült Államok informatikai vészhelyzetekre szakosodott készenléti csapata) kiadott egy figyelmeztetést, amely így mutatta be az Emotetet: “a legköltségesebb és legpusztítóbb vírusok között van, amelyek az SLTT [állami, helyi, törzsi és territoriális] kormányzattal kapcsolatba kerültek.)
Féregszerű tulajdonságai miatt gyorsan szét tud terjedni a lokális hálózaton, amely ellen nehéz védekezni, de a Sophos szerint nem lehetetlen. Amikor egy szervezetre csapást mér az Emotet, a fertőzés forrása továbbra is egy hálózaton lévő, nem biztonságos számítógép. Az ismeretlen, nem biztonságos gépek az Emotet számára rejtőzködésre és adaptálódásra alkalmas helyet biztosítanak. Habár "bebörtönözhető" a nem biztonságos gépre a más gépeken futó biztonsági szoftverekkel, folyamatosan próbálkozik majd a kitöréssel. És mivel "alakváltó", rendkívüli ütemben kap frissítéseket (naponta akár többször is), payloadja pedig pillanatok alatt változhat, folyamatosan új kihívásokat ad. Minél tovább végezheti tevékenységeit, annál nagyobb a veszélye annak, hogy az Emotet egy frissítése vagy a payload/kód megváltozása miatt rést talál a pajzson, kiszabadul és terjedni kezd a hálózaton.
Lehetetlen előre látni, hogy mi fogja megtalálni ezt a rést - talán egy új exploit/program, vagy egy mutáció, amely ideiglenesen elrejti az Emotetet a szignatúra alapú antivírussal szemben. Ezért alapvető fontosságú a megfelelő végpontvédelmi rendszer telepítésé,a mely megállítja a fertőzést. Az Emotet egy átjáró más vírusok számára, így az Emotet fertőzés feltartóztatása nem csak az Emotet megállítását jelenti, hanem minden más fenyegetését, amelyet az magával hoz. A lista legtetején (és ez egy bevallottan hosszú lista) az ismert sebezhetőségek patchelésének kell állnia. A sérülékeny szoftver az Emotet fertőzéseket tovább rontja, és nehezebben állíthatók meg.
Az Emotat tipikusan ártalmas email mellékletként érkezik és egy fertőzés gyakran így kezdődik:
A felhasználó egy emailt kap, amelyben egy Word dokumentum a csatolmány.
A felhasználó megnyitja a Word dokumentumot, elkövetve azt a hibát, engedélyezi a benne levő makró program végrehajtását.
A makró elindítja a PowerShellt, hogy töltse le az Emotetet.
Az Emotet fertőzés elkezdődik.
Mivel a házirendek megkerülhetőek, így a PowerShellt a blokkolt elemek listájára kell tenni.
Az Emotet káros spam kampányokban érkezik és bármilyen komponenst szállíthat, amivel csak pénzt lehet keresni. Ez idén eddig jellemzően a TrickBot és QBot banki trójai szoftvereket jelentette, de kapcsolták már a BitPaymerhez is - egy kifinomult zsarolóvírus típushoz, amely nyolcszámjegyű váltságdíjakat zsarol ki. 2018 júliusában az US-CERT (United States Computer Emergency Readiness Team, azaz az Egyesült Államok informatikai vészhelyzetekre szakosodott készenléti csapata) kiadott egy figyelmeztetést, amely így mutatta be az Emotetet: “a legköltségesebb és legpusztítóbb vírusok között van, amelyek az SLTT [állami, helyi, törzsi és territoriális] kormányzattal kapcsolatba kerültek.)
Féregszerű tulajdonságai miatt gyorsan szét tud terjedni a lokális hálózaton, amely ellen nehéz védekezni, de a Sophos szerint nem lehetetlen. Amikor egy szervezetre csapást mér az Emotet, a fertőzés forrása továbbra is egy hálózaton lévő, nem biztonságos számítógép. Az ismeretlen, nem biztonságos gépek az Emotet számára rejtőzködésre és adaptálódásra alkalmas helyet biztosítanak. Habár "bebörtönözhető" a nem biztonságos gépre a más gépeken futó biztonsági szoftverekkel, folyamatosan próbálkozik majd a kitöréssel. És mivel "alakváltó", rendkívüli ütemben kap frissítéseket (naponta akár többször is), payloadja pedig pillanatok alatt változhat, folyamatosan új kihívásokat ad. Minél tovább végezheti tevékenységeit, annál nagyobb a veszélye annak, hogy az Emotet egy frissítése vagy a payload/kód megváltozása miatt rést talál a pajzson, kiszabadul és terjedni kezd a hálózaton.
Lehetetlen előre látni, hogy mi fogja megtalálni ezt a rést - talán egy új exploit/program, vagy egy mutáció, amely ideiglenesen elrejti az Emotetet a szignatúra alapú antivírussal szemben. Ezért alapvető fontosságú a megfelelő végpontvédelmi rendszer telepítésé,a mely megállítja a fertőzést. Az Emotet egy átjáró más vírusok számára, így az Emotet fertőzés feltartóztatása nem csak az Emotet megállítását jelenti, hanem minden más fenyegetését, amelyet az magával hoz. A lista legtetején (és ez egy bevallottan hosszú lista) az ismert sebezhetőségek patchelésének kell állnia. A sérülékeny szoftver az Emotet fertőzéseket tovább rontja, és nehezebben állíthatók meg.
Az Emotat tipikusan ártalmas email mellékletként érkezik és egy fertőzés gyakran így kezdődik:
Mivel a házirendek megkerülhetőek, így a PowerShellt a blokkolt elemek listájára kell tenni.