Emotet - Do trojan bancário ao maior botnet

Autor: Itay Bochner

Resumo

O nome do Emotet tem aparecido nas notícias com bastante frequência recentemente, após um longo período fora do radar, especialmente no contexto de ataques generalizados de ransomware e campanhas avançadas de phishing. É um cavalo de Troia avançado normalmente distribuído através de anexos de correio eletrónico e links que, uma vez clicados, lançam o payload. O Emotet está a funcionar como um dropper para outro malware.

O que torna o Emotet tão especial que se tornou no maior botnet utilizado por agentes de ameaças?

Para entender isso, vamos começar do início...

Emotet Explicação

O Emotet foi identificado pela primeira vez em 2014, quando clientes de bancos alemães e austríacos foram afectados pelo Trojan. Foi desenvolvido como um simples Trojan com a capacidade de roubar informações sensíveis e privadas. À medida que foi evoluindo, ganhou mais funcionalidades, como spamming e serviços de entrega de malware (um Dropper) que, depois de infetar um PC, instalava outro malware. Normalmente são largados os seguintes programas:

• TrickBot - Um Trojan bancário que tenta obter acesso aos dados de login das contas bancárias.
• Ryuk : Um ransomware que encripta dados e impede o utilizador do computador de aceder a esses dados ou a todo o sistema.

O Emotet espalha-se com características de worm através de anexos de e-mail de phishing ou links que carregam um anexo de phishing. Depois de aberto, o Emotet propaga-se por toda a rede, adivinhando as credenciais de administrador e utilizando-as para escrever remotamente em unidades partilhadas utilizando o protocolo de partilha de ficheiros SMB, o que dá ao atacante a capacidade de se deslocar lateralmente através de uma rede.

De acordo com a US-CISA :

O Emotet é um Trojan avançado que se propaga principalmente através de anexos de e-mail de phishing e links que, uma vez clicados, lançam o payload(Phishing: Spearphishing Attachment[T1566.001], Phishing: Spearphishing Link[T1566.002]):Adivinhação de Palavra-passe[T1110.001], Contas Válidas: Contas locais[T1078.003], Serviços remotos: Partilhas SMB/Windows Admin[T1021.002]).

O acima exposto sublinha a razão pela qual o Emotet é difícil de prevenir, devido às suas técnicas especiais de evasão e às suas características de "worm-like", que lhe permitem espalhar-se autonomamente de forma lateral dentro da rede.

Outra caraterística fundamental é que o Emotet utiliza DLLs (Dynamic Link Libraries) modulares para evoluir e atualizar continuamente as suas capacidades.

Atividade recente

Foram apresentados numerosos relatórios que indicam um grande aumento na utilização de Emotet

• Os ataques detectados com o Trojan Emotet aumentaram mais de 1200% entre o segundo e o terceiro trimestre deste ano, apoiando o aumento das campanhas de ransomware, de acordo com os últimos dados da HP Inc.
  (https://www.infosecurity-magazine.com/news/ransomware-alert-as-emotet/)
• Desde julho de 2020, a CISA tem registado um aumento da atividade dos indicadores associados ao Emotet. Durante esse período, o sistema de deteção de intrusões EINSTEIN da CISA, que protege as redes federais, civis e do poder executivo, detetou cerca de 16 000 alertas relacionados com a atividade do Emotet.
  (https://us-cert.cisa.gov/ncas/alerts/aa20-280a)
• No mês passado, a Microsoft, a Itália e os Países Baixos alertaram para um aumento da atividade do spam malicioso Emotet, algumas semanas depois de a França, o Japão e a Nova Zelândia terem emitido os seus alertas sobre o Emotet.
  (https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/)
• Nas últimas semanas, temos visto um número significativamente maior de Emotet Malspam
  (https://unit42.paloaltonetworks.com/emotet-thread-hijacking/)

O que é único no comportamento da Emotet durante esta nova vaga é a mudança das campanhas de spam da Emotet, que agora também estão a utilizar ficheiros ZIP protegidos por palavra-passe em vez de documentos do Office.

A ideia é que, ao utilizar ficheiros protegidos por palavra-passe, os gateways de segurança de correio eletrónico não podem abrir o arquivo para analisar o seu conteúdo e não verão vestígios do malware Emotet no seu interior.

A Palo Alto Networks também publicou uma nova técnica usada pelo Emotet chamada Thread Hijacking. Trata-se de uma técnica de ataque por correio eletrónico que utiliza mensagens legítimas roubadas dos clientes de correio eletrónico dos computadores infectados. Este Malspam engana um utilizador legítimo e faz-se passar por uma resposta ao e-mail roubado. O Malspam Thread Hijacked é enviado para os endereços da mensagem original.

OPSWAT oferece soluções preventivas que podem defender a sua organização de ser atacada pelo Emotet. As nossas soluções ajudam as organizações a evitar que o Emotet entre nas redes.

Email Gateway Security impede ataques de phishing

Secure O Access ajuda na validação da conformidade

MetaDefender Core com Deep CDR (Content Disarm and Reconstruction) fornece proteção de segurança para o carregamento de ficheiros utilizando.

Para mais informações, contacte-nos hoje mesmo.

Referências

https://us-cert.cisa.gov/ncas/alerts/aa20-280a

https://www.zdnet.com/article/us-warns-big-surge-in-emotet-malware-campaigns-makes-it-one-of-todays-top-threats/

https://arstechnica.com/information-technology/2020/10/dhs-warns-that-emotet-malware-is-one-of-the-most-prevalent-threats-today/