מחבר: איתי בוכנר
תַקצִיר
שמו של Emotet הופיע לאחרונה לעתים קרובות בחדשות לאחר תקופה ארוכה מתחת לרדאר, במיוחד בהקשר של מתקפות כופר נרחבות וקמפיינים מתקדמים של פישינג. זהו סוס טרויאני מתקדם המופץ בדרך כלל באמצעות קבצים מצורפים לדוא"ל וקישורים, אשר לאחר לחיצה עליו משגר את המטען. Emotet מתפקד כמפעיל תוכנות זדוניות אחרות.
מה הופך את אמוט לכל כך מיוחד שהוא הפך לרשת הבוטים הגדולה ביותר המשמשת גורמי איום?
כדי להבין שנתחיל מההתחלה...
אמוט מוסבר
אמוט זוהה לראשונה בשנת 2014 כאשר לקוחות של בנקים גרמניים ואוסטרים נפגעו מהטרויאני. הוא פותח כטרויאני פשוט עם היכולת לגנוב מידע רגיש ופרטי. ככל שהתפתח, הוא צבר פונקציונליות נוספת, כגון שירותי שליחת דואר זבל והעברת תוכנות זדוניות (Dropper) אשר לאחר הדבקת מחשב התקינו תוכנות זדוניות אחרות. בדרך כלל התוכניות הבאות מוסרות:
- TrickBot - סוס טרויאני בנקאי שמנסה לקבל גישה לנתוני הכניסה של חשבונות בנק.
- ריוק: תוכנת כופר שמצפינה נתונים וחוסמת גישה של משתמש המחשב לנתונים אלה או למערכת כולה.
Emotet מתפשט באמצעות תכונות דמויות תולעת באמצעות קבצים מצורפים לדוא"ל של פישינג או קישורים שטוענים קובץ מצורף של פישינג. לאחר פתיחתו, Emotet פועל להתפשטות ברחבי הרשת על ידי ניחוש אישורי מנהל ושימוש בהם כדי לכתוב מרחוק לכוננים משותפים באמצעות פרוטוקול שיתוף הקבצים SMB, המעניק לתוקף את היכולת לנוע לרוחב הרשת.
לפי US-CISA:
Emotet הוא סוס טרויאני מתקדם המופץ בעיקר באמצעות קבצים מצורפים לדוא"ל של פישינג וקישורים, אשר לאחר לחיצה עליהם משגרים את המטען ( פישינג: קבץ מצורף של Spearphishing [ T1566.001 ], פישינג: קישור של Spearphishing [ T1566.002 ]). לאחר מכן, הנוזקה מנסה להתרבות בתוך רשת על ידי כפייה אכזרית של אישורי משתמש וכתיבה לכוננים משותפים ( Brute Force: ניחוש סיסמה [ T1110.001 ], חשבונות תקפים: חשבונות מקומיים [ T1078.003 ], שירותים מרחוק: שיתופי SMB/Windows Admin [ T1021.002 ]).
האמור לעיל מדגיש מדוע קשה למנוע את Emotet, בגלל טכניקות ההתחמקות המיוחדות שלו ותכונות "דמויות תולעת" המאפשרות לו להתפשט באופן אוטומטי לרוחב בתוך הרשת.
מאפיין מפתח נוסף הוא ש-Emotet משתמש ב-DLLs מודולריים (ספריות קישורים דינמיות) כדי להתפתח ולעדכן את יכולותיו ללא הרף.
פעילות אחרונה
היו דיווחים רבים המצביעים על עלייה גדולה בשימוש ב-Emotet.
- מספר ההתקפות שזוהו באמצעות סוס הטרויאני Emotet זינק ביותר מ-1200% מהרבעון השני עד הרבעון השלישי של השנה, ותמך בעלייה בקמפיינים של תוכנות כופר, על פי הנתונים האחרונים של HP Inc.
( https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/ ) - מאז יולי 2020, CISA חוותה פעילות מוגברת הקשורה לאינדיקטורים הקשורים לאימוטט. במהלך תקופה זו, מערכת גילוי חדירות EINSTEIN של CISA, המגנה על רשתות פדרליות, אזרחיות ורשויות ביצוע, זיהתה כ-16,000 התראות הקשורות לפעילות אימוטט.
( https://us-cert.cisa.gov/ncas/alerts/aa20-280a ) - מיקרוסופט, איטליה והולנד הזהירו בחודש שעבר מפני עלייה חדה בפעילות הספאם הזדונית של Emotet, שהגיעה מספר שבועות לאחר שצרפת, יפן וניו זילנד פרסמו התראות בנוגע ל-Emotet.
( https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/ ) - בשבועות האחרונים ראינו משמעותית יותר Emotet Malspam
( https://unit42.paloaltonetworks.com/emotet-thread-hijacking/ )
מה שדי ייחודי בהתנהגותה של Emotet במהלך הגל החדש הזה הוא השינוי בקמפייני הספאם של Emotet, שכעת גם משתמשים בקבצי ZIP המוגנים בסיסמה במקום במסמכי Office.
הרעיון הוא שבאמצעות קבצים המוגנים בסיסמה, שערי אבטחת דוא"ל לא יוכלו לפתוח את הארכיון כדי לסרוק את תוכנו ולא יראו עקבות של תוכנה זדונית של Emotet בתוכו.
חברת Palo Alto Networks פרסמה גם טכניקה חדשה בה משתמשת Emotet בשם Thread Hijacking. זוהי טכניקת מתקפת דוא"ל המשתמשת בהודעות לגיטימיות שנגנבו מלקוחות דוא"ל של מחשבים נגועים. Malspam זה מזייף משתמש לגיטימי ומתחזה לתשובה לדוא"ל הגנוב. Malspam נחטף נשלח לכתובות מההודעה המקורית.
OPSWAT מציעה פתרונות מונעים שיכולים להגן על הארגון שלך מפני תקיפה באמצעות Emotet. הפתרונות שלנו עוזרים לארגונים למנוע מ-Emotet לחדור לרשתות.
Email Gateway Security עוצרת התקפות פישינג
גישה Secure מסייעת באימות תאימות
Core MetaDefender עם Deep CDR (נטרול ושחזור תוכן) מספק הגנה מפני העלאת קבצים באמצעות.
למידע נוסף, צרו קשר עוד היום.
