Francúzsko, Japonsko a Nový Zéland v priebehu septembra zaznamenali zintenzívnené útoky známeho malvéru Emotet, ktorý je aktívny najmä skrz phishingové kampane a cieli na vybrané spoločnosti a vládne agentúry.
After the French #cybersecurity agency, now more European & Asian agencies warn of surging #Emotet attacks in France, Japan and New Zealand.https://t.co/CGOw9FywZw pic.twitter.com/UeSE2GwizU
— twelvesec (@twelvesec) September 9, 2020
V prípade všetkých troch krajín mala kampaň viaceré spoločné prvky – prostredníctvom emailových príloh šlo buď o šírenie dokumentov .doc, alebo zaheslovaných ZIP súborov. Špecifickým znakom Emotetu je schopnosť rozosielať spam v odlišných prekladoch, preto nenarazil ani ja jazykovú bariéru.
„E-maily obsahujú škodlivé prílohy alebo odkazy, ktoré si má prijímateľ stiahnuť,“ uviedol novozélandský CERT. „Tieto odkazy a prílohy môžu vyzerať ako originálne faktúry, finančné dokumenty, informácie o preprave, životopisy, naskenované dokumenty alebo informácie o COVID-19, ale sú falošné.“
Na Japonsko, ktoré má s touto hrozbou skúsenosti už z predchádzajúcich mesiacov, boli zamerané všetky tri infikované siete (E1, E2 a E3). Keďže sa v posledných dvoch týždňoch pozorovaná aktivita malvéru strojnásobila, krajina pred ním vydala aj oficiálnu výstrahu.
Najslabšiu vlnu útoku zaznamenalo Francúzsko, dopady však neboli úplne zanedbateľné – malware v tomto prípade nakazil sieť parížskeho súdnictva. Incidenty doviedli ministerstvo vnútra k zablokovaniu prijímania akýchkoľvek Office dokumentov skrz email.
Záškodník v novom šate
Emotet, ktorý je v povedomí už od roku 2014, funguje na prevádzkovom modeli s názvom „infraštruktúra ako služba“ (IaaS). Týmto spôsobom sprostredkúva iným malvérom prístup do zraniteľných zariadení.
Z jednoduchého bankového trójskeho sa v priebehu niekoľkých rokov vyvinul do modelu tzv. „švajčiarskeho noža“. Môže tak slúžiť aj ako sťahovač, zlodej informácií či spambot.
Poslednou veľkou obmenou si Emotet prešiel v prvej polovici tohto roka. Výskumníkom z Binary Defense sa v jeho architektúre totiž podarilo objaviť dieru, vďaka ktorej do na pol roka vypli – až kým jeho autori v auguste chybu neopravili a malvér tak chytil druhý dych.
Podľa správy Proofpoint vynovený Emotet do napadnutých zariadení inštaluje bankového trojana Qbot a zároveň aj zadné vrátka pre svoje dlhodobejšie pôsobenie. Okrem infikovaných príloh začali autori do emailov pripájať aj neškodné dokumenty. V neposlednom rade boli spamové emaily preložené do viacerých jazykov.
Jana Tuhrinová, Kristína Urbanová