V mednarodni raciji onesposobili botnet Emotet
Matej Huš
30. jan 2021 ob 11:01:16
Ena večjih nevarnosti preteklih let je bil trojanec Emotet, ki je obstal vse od leta 2014. Kos škodljive programske opreme, ki je sprva služil zgolj za krajo bančnih podatkov, se je razvil v dovršen botnet, ki so ga lahko drugi zlikovci najemali za različne namene. Europol in Eurojust sta ta teden koordinirala policijske racije na Nizozemskem, v Nemčiji, ZDA, Veliki Britaniji, Franciji, Litvi, Kanadi in Ukrajini, v katerih so zasegli več strežnikov, gotovine in zlatih palic ter pridržali več ljudi.
Emotet se je širil z elektronsko pošto, običajno kot okužena priponka doc. Ob odprtju in aktivaciji se je zagnal makro, ki je okužil sistem. Lotem Finkelstein iz Check Point Software je povedal, je bil Emotet z naskokom najuspešnejši malware leta 2020. Nenehno se je tudi prilagajal, tako da je poslal elektronska sporočila z več kot 150.000 različnimi zadevami in 100.000 različnimi imeni priponke. Sproti se je namreč prilagajal tarčam, da je povečal verjetnost, da bodo odprle dokument. Po okužbi, kjer je bil Emotet le prva stopnja za vstop, do dostop prodajali naprej (npr. TrickBotu ali Ryuku). Po omrežjih se je širil lateralno, zaradi česar je bil zelo trdoživ.
Policije v več državah so sodelovale tudi z zasebnimi strokovnjaki. V operaciji Ladybird so onesposobili nadzorno infrastrukturo Emoteta in pridržali vsaj dva človeka v Ukrajini. Še več drugih vpletenih so identificirali in jih bodo poskušali prijeti v naslednjih dneh. Po poročanju ukrajinskih oblasti je Emotet povzročil za 2,5 milijarde dolarjev škode in je pomagal drugim kriminalcem vzpostavljati svoje botnete. Uporabljali so ga tudi za dostop do sistemov, kamor so potem vnesli izsiljevalske programe za šifriranje.
Policija se je Emoteta lotila tako, da je na IP-naslove, kjer so gostovali nadzorni strežniki, postavila lastne. Tako so okuženi računalniki prejeli inertne paketke, ki so deaktivirali nadaljnjo komunikacijo. Običajno so učinki zasegov in uničenja botnetov kratkotrajni, to pot pa pričakujejo daljši učinek, je dejala nizozemska policija. Verjamejo, da so uničili tudi varnostne kopije upravljavcev botneta. Pripravili so tudi obrazec, kjer lahko z vpisom elektronskega naslova preverimo, ali je naš računalnik med okuženimi.