Emotet padol. Botnet, ktorý bol, podľa niektorých zdrojov, použitý na získanie iniciálneho prístupu až v 1/3 malwarových útokov, skončil. Aspoň tak zneli oslavné správy. Existuje však niekoľko dôvodov na to, aby sme Emotet neodpisovali a nepovažovali za vyriešený problém.
27. januára 2021 zverejnil Europol správu o tom, že sa im v spolupráci s bezpečnostnými zložkami z ďalších organizácii a krajín podarilo prebrať kontrolu nad celou riadiacou infraštruktúrou botnetu Emotet. Vďaka tomu dokázali identifikovať obete, zastaviť šírenie a dokonca zabezpečiť automatické odinštalovanie z nakazených počítačov (má prebehnúť 25.4.2021). Holandská polícia navyše ponúka nástroj na overenie, či sa útočníci dostali k vášmu e-mailu a prístupovým údajom.
Pre svet kyberzločinu ide určite o veľkú stratu. Emotet bol jednou z prvých lastovičiek, ktoré umožnili dnešný dodávateľský reťazec ransomwaru (písal som o ňom minule) a slúžil ako najčastejší spôsob, ako sa dostať do infraštruktúry, kde ste, ako kyberzločinec, chceli spustiť svoj ransomware, či trojan. Klasické metódy phishingu a šírenia v sieti v kombinácii s inovatívnymi úpravami autorov a veľkosťou botnetu z Emotetu urobili lídra v hrozbách pre väčšinu organizácii. Svoje by o tom vedeli aj vo viacerých organizáciách u nás, napr. v Nemocnici Benešov. Strata kontroly nad touto rozsiahlou infraštruktúrou by, aj napriek ostatným faktorom, mala znamenať koniec Emotetu. Neradujme sa však predčasne.
Aj keď došlo k zatknutiam, boli zatknutí iba ľudia zodpovední za infraštruktúru. Hlavná časť skupiny je stále veľkou neznámou. S nefunkčnou infraštruktúrou nemôže Emotet rozposielať phishingové e-maily ani kontrolovať nakazené počítače, čiže nedochádza k ďalšiemu šíreniu. Obnovenie sa zdá nemožné. Autorom Emotetu však hrá do kariet pomerne významná skutočnosť – počítače nakazené Emotetom budú často nakazené aj iným malwarom. Práve tento iný malware by mohli autori Emotetu využiť na znovunakazenie, aj po odinštalovaní Emotetu. Za pravdepodobné považujeme aj to, že kód, ktorý zabezpečoval beh celej infraštruktúry, majú autori k dispozícii a budu schopní ju rýchlo postaviť nanovo.
Podobný pád sme už videli v prípade riadiacej infraštruktúry malwaru TrickBot v októbri 2020. Pár týždňov bolo ticho, no potom sa TrickBot vrátil s novou infraštruktúrou a novými trikmi. Absencia Emotetu tiež neznamená, že časť útokov zrazu prestane. Práve naopak, jeho miesto zaplnia ďalší ambiciózni hráči, ako napr. Dridex. Pre potenciálne obete sa tak pádom Emotetu situácia nezlepší.
Čo ale vašu situáciu v boji proti kybernetickým útokom určite zlepší je komplexný prístup k zabezpečeniu vašej IT infraštruktúry. Od prevencie, cez presnú detekciu zameranú na útoky, ktoré ohrozujú vašu činnosť až po rýchlu reakciu a obnovenie provozu po kybernetickom útoku. V každej fáze tohto procesu vám radi pomôžeme v našom bezpečnostnom dohľadovom centre AXENTA CyberSOC.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázek: Freepik
