» »

V mednarodni raciji onesposobili botnet Emotet

V mednarodni raciji onesposobili botnet Emotet

Slo-Tech - Ena večjih nevarnosti preteklih let je bil trojanec Emotet, ki je obstal vse od leta 2014. Kos škodljive programske opreme, ki je sprva služil zgolj za krajo bančnih podatkov, se je razvil v dovršen botnet, ki so ga lahko drugi zlikovci najemali za različne namene. Europol in Eurojust sta ta teden koordinirala policijske racije na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, v katerih so zasegli več strežnikov, gotovine in zlatih palic ter pridržali več ljudi.

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem. Lotem Finkelstein iz Check Point Software je povedal, je bil Emotet z naskokom najuspešnejši malware leta 2020. Nenehno se je tudi prilagajal, tako da je poslal elektronska sporočila z več kot 150.000 različnimi zadevami in 100.000 različnimi imeni priponke. Sproti se je namreč prilagajal tarčam, da je povečal verjetnost, da bodo odprle dokument. Po okužbi, kjer je bil Emotet le prva stopnja za vstop, do dostop prodajali naprej (npr. TrickBotu ali Ryuku). Po omrežjih se je širil lateralno, zaradi česar je bil zelo trdoživ.

Policije v več državah so sodelovale tudi z zasebnimi strokovnjaki. V operaciji Ladybird so onesposobili nadzorno infrastrukturo Emoteta in pridržali vsaj dva človeka v Ukrajini. Še več drugih vpletenih so identificirali in jih bodo poskušali prijeti v naslednjih dneh. Po poročanju ukrajinskih oblasti je Emotet povzročil za 2,5 milijarde dolarjev škode in je pomagal drugim kriminalcem vzpostavljati svoje botnete. Uporabljali so ga tudi za dostop do sistemov, kamor so potem vnesli izsiljevalske programe za šifriranje.

Policija se je Emoteta lotila tako, da je na IP-naslove, kjer so gostovali nadzorni strežniki, postavila lastne. Tako so okuženi računalniki prejeli inertne paketke, ki so deaktivirali nadaljnjo komunikacijo. Običajno so učinki zasegov in uničenja botnetov kratkotrajni, to pot pa pričakujejo daljši učinek, je dejala nizozemska policija. Verjamejo, da so uničili tudi varnostne kopije upravljavcev botneta. Pripravili so tudi obrazec, kjer lahko z vpisom elektronskega naslova preverimo, ali je naš računalnik med okuženimi.

10 komentarjev

Evolve ::

Pripravili so tudi obrazec, kjer lahko z vpisom elektronskega naslova preverimo, ali je naš računalnik med okuženimi.


malo butast način za preverjanje

N4g4c3N ::

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem.


Spet MS Office makroji... Ne vem, ali se meni samo zdi, ali so v zadnjih letih pri širjenju tovrstne zalege (predvsem v novicah o ransomware-u) krivi prav makroji? MS bi moral tukaj nekako ukrepati.

Evolve ::

N4g4c3N je izjavil:

Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem.


Spet MS Office makroji... Ne vem, ali se meni samo zdi, ali so v zadnjih letih pri širjenju tovrstne zalege (predvsem v novicah o ransomware-u) krivi prav makroji? MS bi moral tukaj nekako ukrepati.


https://techcommunity.microsoft.com/t5/...

ampak glede na to da ti poturijo virus v sliko, pdf ali kateri drug dokument to nima veze

dokler bo folk butast in bo odpiral vse kar mu pač pošlješ na mail bo to problem.

korenje3 ::

ko vidiš ameriške dolarje v kešu, ti je takoj jasno kdo te ljudi financira.
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

Zgodovina sprememb…

  • spremenil: korenje3 ()

N4g4c3N ::

Evolve je izjavil:

ampak glede na to da ti poturijo virus v sliko, pdf ali kateri drug dokument to nima veze

Lahko poveš kaj več na to temo? To sem že nekajkrat slišal, da je virus lahko v sliki ali pdf-ju. Sklepam, da je okužen dokument nevaren samo, če ga odpreš s točno določenim programom? Primer: pdf dokument je nevaren, samo če ga odpreš z Adobe Acrobat reader, če pa ga odpreš s Foxit readerjem pa se ne zgodi nič, ker okužen dokument samo izkoristi varnostno luknjo v Acrobatu. Je tako? Potem tega ne gre primerjati z načinom, ki ga je izkoriščal Emotet. Makroji namreč niso varnostna luknja, ampak feature, ki pa ga je z malo socialnega inženiringa otročje lahko zlorabiti.

Evolve ::

Pri slikah se uporablja metapodatke za take stvari. Je stvar nevarna zgolj za strežnik, kjer je taka slika gostovana, saj se v metapodatke poturi npr php kodo, ki lahko ustvari backdoor. Se pa računalnik na ta način ne okuži.
Imaš potem še razne buffer overflow fore...

PDF je pa še mal bolj napreden za take zadeve, od javascript do skritih priponk, poganjanja externih aplikacij, ki niso del pdf-ja...

Je emonet veliko bolj napredna zadeva (tudi zamišljen je bil najbrž tako), ni bil muha enodnevnica. Bolj na nivoju stuxneta.

Ampak vedno bojo stvari, ki se bodo lahko izkoriščale, kot si reku.. trenutno je makro najlaže za izkoristit, tudi za bolj "napredne" uporabnike.

Zgodovina sprememb…

  • spremenil: Evolve ()

Pac-Man ::

korenje3 je izjavil:

ko vidiš ameriške dolarje v kešu, ti je takoj jasno kdo te ljudi financira.

GTFO kdo?

FYI, v postsovjetskem prostoru so dolarji kot pri nas včasih nemške marke.
The ideal subject of totalitarian rule is not the convinced Nazi or
the convinced Communist, but people for whom the distinction between fact and
fiction and the distinction between true and false no longer exist.

MrStein ::

Evolve je izjavil:

Pri slikah se uporablja metapodatke za take stvari. Je stvar nevarna zgolj za strežnik, kjer je taka slika gostovana, saj se v metapodatke poturi npr php kodo, ki lahko ustvari backdoor. Se pa računalnik na ta način ne okuži.
Imaš potem še razne buffer overflow fore...

Seveda se (client) računalnik tako okuži.
Sploh pred meseci je bil bug v Windows media knjižnicah.

Za pokušino tule je spisek lukenj v Windows media player-ju.

Glej tudi Microsoft Windows Codecs Library in podobno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

korenje3 ::

Pac-Man je izjavil:

korenje3 je izjavil:

ko vidiš ameriške dolarje v kešu, ti je takoj jasno kdo te ljudi financira.

GTFO kdo?

FYI, v postsovjetskem prostoru so dolarji kot pri nas včasih nemške marke.


očitno še nisi bil v ukrajini.
tam operirajo z evri, če že ne z lastno valuto.
To da ima nekdo pakete dolarjev je prava redkost.
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

Zgodovina sprememb…

  • spremenil: korenje3 ()

mtosev ::

Čestitke za uspešno izvedeno akcijo. Manj takšnih smeti je dobra novica za vse nas.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V mednarodni raciji onesposobili botnet Emotet

Oddelek: Novice / Varnost
1010914 (9498) mtosev
»

Dvajset let po virusu ILoveYou

Oddelek: Novice / Varnost
54191 (2488) poweroff
»

Izsiljevalski Wildfire zlomljen

Oddelek: Novice / Kriptovalute
126147 (4251) SeMiNeSanja
»

Deset let po Melissi

Oddelek: Novice / Varnost
84101 (2989) gumby
»

Razbito omrežje 100.000 "zombijev"

Oddelek: Novice / Varnost
485595 (4152) fahrenGONE

Več podobnih tem