Blog IT, Blog Marketing

Więcej spamu czyli Emotet powraca

Więcej spamu czyli Emotet powraca

Marcin Sarna , 21.07.2020 r.

Emotet czyli gigabotnet

Emotet, najbardziej kosztotwórczy i destrukcyjny botnet na świecie, po pięciu miesięcach przerwy powrócił. Jego powrót został oznajmiony raptownym wzrostem ilości złośliwego spamu mającego na celu rozprzestrzenianie backdoora, który instaluje ransomware, trojany i inne złośliwe oprogramowanie.

Botnet wysłał 250.000 wiadomości w ciągu jednego dnia, głównie do ludzi w Stanach Zjednoczonych i Wielkiej Brytanii. Badacze z takich firm jak abuse.ch, Spamhaus, Malwarebytes czy Microsoft potwierdzili, że cele znajdowały się również na Bliskim Wschodzie, w Ameryce Południowej i Afryce. To, że za wzrost spamu odpowiada właśnie Emotet, wywnioskowano z faktu iż ponownie pojawił się charakterystyczny wzorzec wysyłania zainfekowanego dokumentu lub łącza do pliku zawierającego złośliwe oprogramowanie. Po otwarciu takiego pliku jest instalowany backdoor Emotet.

Jak działa Emotet?

Emotet okazał się jednym z najbardziej intensywnych generatorów zagrożeń, z którymi muszą zmierzyć się ludzie w ostatnich latach. Rozsyłane przez niego wiadomości e-mail często wydają się pochodzić od osoby, z którą ofiara spamu korespondowała już w przeszłości. Złośliwe wiadomości często używają tematu i treści poprzednich wątków wiadomości e-mail, w których uczestniczyły obie te osoby. Emotet pobiera te informacje, uzyskując uprzednio dostęp do listy kontaktów i skrzynki odbiorczej na zainfekowanym komputerze.

Technika ta oznacza dwie korzyści dla atakującego. Przede wszystkim powoduje, że ofiara myśli iż wiadomość jest w porządku bo pochodzi od przyjaciela, znajomego czy współpracownika oraz jest kontynuacją wcześniej omawianych spraw. Zawarcie w jej treści autentycznej zawartości utrudnia również filtrom antyspamowym wykrywania takiej wiadomości e-mail jako złośliwej.

Inny sprytny zabieg twórców Emoteta polega na tym, że botnet kradnie loginy i hasła używane na serwerach poczty wychodzącej. Następnie są one używane do wysyłania e-maili z tych serwerów. Botnet nie musi dzięki temu polegać wyłącznie na własnej infrastrukturze ale przede wszystkim tak wysłane wiadomości znowu są trudniejsze do wykrycia i zablokowania.

Ostatni raz kiedy Emotet był uprzednio „widziany” to pięć dni na początku lutego. W tym czasie zostało wysłanych 1,8 miliona wiadomości. Botnet jest znany z takiej działalności, polegającej na szybkich zrywach i wysyłaniu sporej ilości spamu w krótkim okresie. Następnie, niczym łódź podwodna, Emotet ukrywa się przez kolejne tygodnie lub miesiące.

Ekonomika botnetu

Grupa znana jest z długich przerw i regularnego braku jakiejkolwiek aktywności w weekendy i głównych okresy wakacyjno-świąteczne. Wydaje się, że cyberprzestępcy też muszą mieć live-work balance. Oprócz umożliwienia utrzymania zdrowej równowagi między życiem „zawodowym” a prywatnym, tak ustawiony harmonogram sprawia, że kampanie są bardziej skuteczne.

Badacze zwracają uwagę, że dla cyberprzestępców istotne jest to aby okres pomiędzy wysłanie spamu a jego odebraniem przez ofiarę był jak najkrótszy. Wraz ze wzrostem tego czasu wzrasta bowiem ryzyko, że ofiara nie otworzy załącznika lub też oprogramowanie antywirusowe skutecznie wykona swoją pracę.

Najczęściej spotykanymi załącznikami w mailach wysyłanych przez Emotet są naturalnie dokumenty MS Word, PDF. Źródłem infekcji potrafią też być znajdujące się w treści wiadomości adresy URL prowadzące do specjalnie skonstruowanych dokumentów MS Word. Te pliki .doc lub .docx zawierają makra, które po ich aktywacji instalują backdoor Emotet. Backdoor nie działa od razu – odczekuje wiele dni zanim ściągnie na komputer ofiary swoich kolegów, takich jak służący do wyłudzania danych bankowych TrickBot albo ransomware’owy Ryuk.

Co robić, jak żyć?

Emotet to taki uaktywniający się okresowo przypominacz, że zagrożenie spamem nie zmalało i nie polega tylko na otrzymywaniu tony niezamówionej korespondencji. Zanim otworzysz dokument Worda, nawet otrzymany od swojego znajomego, sprawdź czy na pewno nic nie zbudza Twoich podejrzeń. Także ostrzeżenie Worda o tym, że dokument zawiera makra, powinien wzbudzić ostrożność i pytanie, po co koleżanka miałaby używać makro w pliku z przepisem na kruche ciasteczka.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej