据欧洲刑警组织所称,Emotet是一种“世界上最危险的恶意软件”,而且根据卡巴斯基的遥测数据,2022年3月,该恶意软件在全球范围内增长超过200%。这种增长表明,僵尸网络背后的威胁行为者自2021年11月卷土重来以来,一直在采取措施大力增加其恶意活动。这些发现是卡巴斯基最新的有关Emotet模块和最新活动分析研究的一部分。
Emotet既是一种僵尸网络,即一个由受感染设备组成的受控制网络,用于攻击其他设备,同时也是一种恶意软件,能够从受感染设备上窃取不同类型的数据,通常是与金融有关的数据。该恶意软件是由经验丰富的威胁行为者操作,已成为网络犯罪世界中最大的参与者之一。早在2021年1月,在来自不同国家的多个执法机构的共同努力下,Emotet被关闭了。但是,2021年11月,该僵尸网络又卷土重来,并且自那以后一直在逐渐增加其活动。它最初是通过另一个被成为Trickbot的僵尸网络传播的,现在则是通过恶意垃圾邮件活动的方式自己进行传播。
卡巴斯基的遥测数据显示,该恶意软件的受害者数量从2022年2月份的2,843人增加到3月份9,086人,增长了超过三倍。卡巴斯基解决方案检测到的攻击数量也相应增加——从2022年2月的16,897次增长到3月的48,597次。
侦测到的Emotet攻击数量的动态变化,2021年11月—2022年3月
典型的Emotet感染始于垃圾邮件,其中包含带有恶意宏的Microsoft Office附件。使用这个宏,威胁行为者可以启用一个恶意的PowerShell命令,释放和启动一个模块加载程序,这个加载程序能够与命令和控制服务器进行通信,下载和启动模块。这些模块可以再受感染设备上执行各种不同的任务。卡巴斯基研究人员想办法获取和分析了16个模块中的10个,其中大多数模块过去曾被Emotet以某种形式使用过。
当前版本的Emotet可以创建自动垃圾邮件活动,从受感染的设备进一步传播到网络中,从Thunderbird和Outlook应用程序中窃取电子邮件和邮件地址,并从常用的浏览器如Internet Explorer、Mozilla Firefox、Google Chrome、Safari和Opera中收集密码,进一步收集各种电子邮件客户端的账户详细信息。
“Emotet是一个高度先进的僵尸网络,它困扰着世界各地的许多组织。过去一年多,通过瓦解其网络,将其从顶级威胁名单中剔除,是在全球范围内减少威胁的重要一步。尽管目前的攻击数量不能与Emotet以前的运营规模相提并论,但动态的变化表明该僵尸网络的操作者变得明显活跃了,这种威胁很可能在未来几个月内进一步蔓延,”卡巴斯基安全研究员Alexey Shulmin评论说。
要观看有关Emotet被打掉的纪录片,请访问Tomorrow Unlocked。
更多有关Emotet模块的详情,请访问Securelist.com.
为了帮助企业远离Emotet和类似僵尸网络,专家建议企业和组织尽快采取以下措施:
了解最新的动向。查看有关Emotet的进一步发展。有几种方法可以实现,例如访问卡巴斯基的资源中心或进行自己的研究。
不要下载垃圾邮件中的可疑附件,也不要点击可疑链接。如果你不能确认收到的邮件是否是真的,请避免风险并联系发件人。如果下载的文件邀请你允许运行宏,再任何情况下都不要这样做,并立即删除文件。这样做,你就不会给Emotet机会入侵你的计算机。
在使用在线银行时,请使用多因素认证解决方案。
一定要安装一款全面的反病毒和反恶意软件解决方案,例如卡巴斯基安全软件,并使用这些解决方案定期扫描您的计算机以查找漏洞。这样做可帮助您更好地抵御最新的病毒和间谍软件等。
确保您使用的软件及时进行更新——这包括您使用的操作系统和所有应用软件,(攻击者利用广泛使用的程序中的漏洞来入侵系统)。
为员工定期进行网络安全意识培训,让他们了解最佳实践,例如不要点击或打开来自不受信任来源的链接或附件。作为后续,进行模拟网络钓鱼攻击,以确保他们知道如何区分网络钓鱼电子邮件。