Emotet恶意软件僵尸网络被欧洲刑警执法机构捣毁

Emotet恶意软件僵尸网络被欧洲刑警执法机构捣毁

“再见僵尸网络。”Europol在删除Emotet僵尸网络后发布的推文中写道:“全球范围内的巨大运营使世界上最危险的恶意软件大量瘫痪。”

根据欧洲刑警组织的新闻稿,对Emotet僵尸网络活动的调查是在两年前对来自德国,荷兰,联邦调查局和英国国家犯罪局等8个国家的调查员进行的,然后才展开调查。组织良好的犯罪团伙主要使用Emotet基础设施。

在对八个国家进行了为期两年的调查后,通过联合行动将其删除。调查人员还发现了一个数据库,其中包含在调查过程中被盗的用户名和密码。

荷兰,德国,美国,英国,法国,立陶宛,加拿大和乌克兰的执法部门正在接近执行一项计划,以击倒Emotet。他们正在制定自己的流程,协调时间以授予一些手铐。这些团队还协调了Emotet基础架构的部分接管工作。这些系统将在可能的情况下易手,不再伤害受害者。

什么是Emotet僵尸网络?

欧洲刑警组织发言人称,Emotet被誉为网络攻击中最危险,最具弹性的恶意软件。该恶意软件最初于2014年以银行木马的形式出现,并演变成一种强大的工具,可用于进行多年来最破坏性的网络攻击,尤其是基于Windows的系统。

病毒通过进入系统通过电子邮件附件,通过网络钓鱼诈骗邮件发送一种无害的Word文档起作用。该恶意软件曾经被隐藏在虚假发票,COVID-19信息或交货通知中。

下载附件后,该病毒会迅速复制,从而使恶意软件操作员能够发送其他木马病毒来窃取敏感信息(例如银行数据)或加密数据以勒索金钱。

世界上最危险的僵尸网络

Emotet网络运营商曾经将其僵尸网络大军租给其他网络犯罪分子,后者将它们用作发起其他恶意软件攻击(如勒索软件和RAT)的网关。最终,Emotet成为过去十年中最危险的恶意软件,也是最具破坏性的僵尸网络之一。

在涉及Ryuk勒索软件(现在已拆除)和TrickBot银行木马的操作中,使用受Emotet破坏的设备来安装恶意软件。

出租攻击 

EMOTET不仅仅是恶意软件。EMOTET如此危险的原因在于,该恶意软件被提供给其他网络罪犯,以将其他类型的恶意软件(例如银行木马或勒索软件)安装到受害者的计算机上。 

这类攻击称为“装载程序”操作,据称EMOTET是网络犯罪领域最大的攻击者之一,因为TrickBot和Ryuk等其他恶意软件运营商也从中受益。 

它通过仅访问网络中的少数设备即可通过横向传播威胁来感染网络的独特方式,使其成为野外最具复原力的恶意软件之一。 

数百个Emotet服务器中断

根据EC3(欧洲刑警组织欧洲网络犯罪中心)的运营负责人费尔南多·鲁伊斯(Fernando Ruiz)的说法,这可能是该机构最近进行的“最大规模的运营”之一。

“ Emotet参与了30%的恶意软件攻击;成功的撤军将对犯罪形势产生重要影响。”鲁伊斯说。

据欧洲刑警组织称,执法机构花了一周的时间才能控制Emotet的基础设施。全球数百个恶意软件服务器从内部受到破坏,而受Emotet控制的计算机现在处于执法机构基础结构的控制之下。

因此,网络罪犯无法再利用这些机器,也无法将其分发给新的目标。

鲁伊斯补充说:“…我们正在消除市场上的主要投机者-确保会有其他犯罪分子试图填补的空白,但是一段时间之后,这将对网络安全产生积极影响。”

另一方面,网络威胁情报公司Team Cymru在一份详细声明中表示,该公司与FBI合作帮助协调了全球网络运营,并表示该公司与私人研究人员,安全厂商,互联网服务提供商以及执法部门合作。全世界有几个国家在此方面提供便利。”

“公司的作用是双重的。首先,该公司枚举并验证了Emotet僵尸网络中第1层控制器的IP地址。其次,由于Cymru团队与世界各地的互联网服务提供商都有合作关系,因此Cyrmu团队是招募网络运营商以协助移除的合作伙伴。”

“尽管独特的可见度是审核和审核要收购或收购的第1层控制器的关键,但全球ISP之间的协作确实是至关重要的因素。这些网络运营商是这个故事中的英雄。由于这种合作的努力,不良行为者被捕,互联网暂时更安全。” Cyrmu团队补充说。

重要的是要注意,只有时间能证明持续多长时间。执法,安全厂商和网络运营商社区将继续跟踪,监视和协作,以不断防御这些不断变化的威胁。”

第一层EMOTET控制器从100降为0