Lekapcsolták az évtized kártevőjét – Mint a filmekben

Nyolc ország koordinált összefogására volt szükség ahhoz, hogy sikerült lekapcsolni talán az évtized legkártékonyabb botnetét, az Emotetet.

2,5 milliárd dolláros kárt okozott

Kétévnyi nyomozás és együttműködés eredménye, hogy a világviszonylatban 2,5 milliárd dolláros kárt okozó hálózatot a hatóságoknak sikerült feltérképezniük.

Az Operation Ladybird hadművelet keretében

két ukrán állampolgárt tartóztattak le, akik a botnet infrastruktúráját menedzselték. A bűnözők maximum 12 éves börtönbüntetés elé néznek – írja a The Hacker News.

Az Emotet 2014-ben jelent meg először, akkor még csak banki trójaiként vetették be, illetve az azonosítók ellopására használták. Azonban a kártevőt folyamatosan továbbfejlesztették, igazi

svájci bicska lett belőle: spambotként, információt ellopó kártevőként egyaránt használható volt,

s a Tricbot, valamint a Ryuk zsarolóvírus terjesztésére is használták. Az Emotet botnetet az is veszélyessé tette, hogy bárki kibérelhette, és saját céljaira felhasználhatta.

Sok variáns keringett

Az évek során a G Data szakemberei is rengeteg Emotet-variánst fedeztek fel. Például 2019-ben a kártevőcsalád csupán a hatodik helyezett volt a kártevők toplistájában, de egy év alatt 70 800 új változatát fedezték fel a szakemberek.

2019 végén Németországban rendkívül aktív volt, rengeteg közigazgatási intézmény, egyetem és kórház esett áldozatául.

Saját infrastruktúráján keresztül hatástalanítják

Az összehangolt akció keretében csaknem 700 Emotet szervert azonosítottak a hatóságok világszerte.

A helyzet iróniája, hogy a hatóságok az Emotetet használják saját maga megsemmisítésére.

A holland rendőrség két szervert foglalt le, és egy onnan indított szoftverfrissítés segítségével hatástalanítják a teljes botnetet. Minden Emotettel fertőzött számítógép ugyanis automatikusan megkapja azt a hatóságok által ellenőrzött frissítést, amelynek segítségével megszabadulhatnak a kártevőtől.

Az Emotet 2021. április 25-ig törlődik teljesen az érintett infrastruktúrákból – a hatóságok időt szeretnének hagyni az IT-csapatoknak, hogy felmérjék az okozott kárt, készítsenek saját elemzéseket a biztonsági eseményekről. Addig is az Emotet nem tud terjedni, mivel már a hatóságok ellenőrzése alatt áll.

A rendőrök lefoglaltak egy 600 ezer e-mail-címet tartalmazó adatbázist, ebben gyűjtötték az Emotet áldozatok e-mail-címét. A holland rendőrség oldalán magunk is leellenőrizhetjük, hogy e-mail-címünk benne van-e a lopottak között vagy sem.

Mi az a botnet?

A Nemzeti Kibervédelmi Intézet tudástára szerint: „A robothálózat (továbbiakban botnet) egy fertőzött informatikai eszközökből álló hálózat, amelyet a botnet gazdája többféle károkozásra is alkalmazhat. A fertőzött munkaállomások felhasználásának célja főképp kéretlen levelek kiküldése, szolgáltatás megtagadást okozó támadások (Denial-of-Service – DoS) indítása, vagy éppen szenzitív (például banki) adatok eltulajdonítása.

A támadónak elsőként hozzáférést kell szereznie az áldozat eszközéhez, ami sokféleképpen történhet. Egyik szokványos mód az ún. exploit kitek segítségével történő fertőzés, amelynek során a támadó egy weboldalon keresztül – valamilyen sérülékenység kihasználásával – automatikusan telepíti a káros kódot (bot) a site-ot meglátogatók gépére. Másik, szintén gyakori módszer a káros kódot tartalmazó kéretlen levelek útján történő fertőzés is. A célpontok klasszikusan asztali számítógépek, de egyre gyakrabban kerülnek a célkeresztbe IP kamerák, mobiltelefonok, vagy akár routerek is.

A botnetek irányítását általában a vezérlőszerverek (Command & Control szerver) végzik, azonban előfordulnak decentralizált P2P (peer-to-peer) hálózatban működő botnetek is, ahol nincs kitüntetett szerepben lévő node, így a hálózat bármely tagjának kiesése esetén is működőképes marad a botnet.”

Forrás: baon.hu