Lekapcsolták az évtized kártevőjét – Mint a filmekben

Nyolc ország koordinált összefogására volt szükség ahhoz, hogy sikerült lekapcsolni talán az évtized legkártékonyabb botnetét, az Emotetet.

Az Europol weboldalán megjelent hivatalos közlemény szerint nyolc ország (Hollandia, Németország, Amerikai Egyesült Államok, Nagy-Britannia, Franciaország, Litvánia, Kanada és Ukrajna) rendőrségének együttműködésére volt szükség ahhoz, hogy az elmúlt évtized legtöbb problémát okozó botnethálózatát, az Emotetet üzemeltető bűnözőket megtalálják, és a szerverek felett átvegyék az ellenőrzést.

2,5 milliárd dolláros kárt okozott

Kétévnyi nyomozás és együttműködés eredménye, hogy a világviszonylatban 2,5 milliárd dolláros kárt okozó hálózatot a hatóságoknak sikerült feltérképezniük.

Az Operation Ladybird hadművelet keretében

két ukrán állampolgárt tartóztattak le, akik a botnet infrastruktúráját menedzselték. A bűnözők maximum 12 éves börtönbüntetés elé néznek – írja a The Hacker News.

Az Emotet 2014-ben jelent meg először, akkor még csak banki trójaiként vetették be, illetve az azonosítók ellopására használták. Azonban a kártevőt folyamatosan továbbfejlesztették, igazi

svájci bicska lett belőle: spambotként, információt ellopó kártevőként egyaránt használható volt,

s a Tricbot, valamint a Ryuk zsarolóvírus terjesztésére is használták. Az Emotet botnetet az is veszélyessé tette, hogy bárki kibérelhette, és saját céljaira felhasználhatta.

Sok variáns keringett

Az évek során a G Data szakemberei is rengeteg Emotet-variánst fedeztek fel. Például 2019-ben a kártevőcsalád csupán a hatodik helyezett volt a kártevők toplistájában, de egy év alatt 70 800 új változatát fedezték fel a szakemberek.

2019 végén Németországban rendkívül aktív volt, rengeteg közigazgatási intézmény, egyetem és kórház esett áldozatául.

Saját infrastruktúráján keresztül hatástalanítják

Az összehangolt akció keretében csaknem 700 Emotet szervert azonosítottak a hatóságok világszerte.

A helyzet iróniája, hogy a hatóságok az Emotetet használják saját maga megsemmisítésére.

A holland rendőrség két szervert foglalt le, és egy onnan indított szoftverfrissítés segítségével hatástalanítják a teljes botnetet. Minden Emotettel fertőzött számítógép ugyanis automatikusan megkapja azt a hatóságok által ellenőrzött frissítést, amelynek segítségével megszabadulhatnak a kártevőtől.

Az Emotet 2021. április 25-ig törlődik teljesen az érintett infrastruktúrákból – a hatóságok időt szeretnének hagyni az IT-csapatoknak, hogy felmérjék az okozott kárt, készítsenek saját elemzéseket a biztonsági eseményekről. Addig is az Emotet nem tud terjedni, mivel már a hatóságok ellenőrzése alatt áll.

A rendőrök lefoglaltak egy 600 ezer e-mail-címet tartalmazó adatbázist, ebben gyűjtötték az Emotet áldozatok e-mail-címét. A holland rendőrség oldalán magunk is leellenőrizhetjük, hogy e-mail-címünk benne van-e a lopottak között vagy sem.

Mi az a botnet?

A Nemzeti Kibervédelmi Intézet tudástára szerint: „A robothálózat (továbbiakban botnet) egy fertőzött informatikai eszközökből álló hálózat, amelyet a botnet gazdája többféle károkozásra is alkalmazhat. A fertőzött munkaállomások felhasználásának célja főképp kéretlen levelek kiküldése, szolgáltatás megtagadást okozó támadások (Denial-of-Service – DoS) indítása, vagy éppen szenzitív (például banki) adatok eltulajdonítása.

A támadónak elsőként hozzáférést kell szereznie az áldozat eszközéhez, ami sokféleképpen történhet. Egyik szokványos mód az ún. exploit kitek segítségével történő fertőzés, amelynek során a támadó egy weboldalon keresztül – valamilyen sérülékenység kihasználásával – automatikusan telepíti a káros kódot (bot) a site-ot meglátogatók gépére. Másik, szintén gyakori módszer a káros kódot tartalmazó kéretlen levelek útján történő fertőzés is. A célpontok klasszikusan asztali számítógépek, de egyre gyakrabban kerülnek a célkeresztbe IP kamerák, mobiltelefonok, vagy akár routerek is.

A botnetek irányítását általában a vezérlőszerverek (Command & Control szerver) végzik, azonban előfordulnak decentralizált P2P (peer-to-peer) hálózatban működő botnetek is, ahol nincs kitüntetett szerepben lévő node, így a hálózat bármely tagjának kiesése esetén is működőképes marad a botnet.”

Forrás: baon.hu