Emotet Malware

Emotet é um sofisticado e autopropagável troiano . Embora o Emotet tenha começado como um trojan bancário, seu design modular permitiu que ele evoluísse para um distribuidor de outros tipos de malware. O Emotet é frequentemente espalhado por e-mails de spam de phishing contendo anexos ou links maliciosos.

Emotet é um distribuidor de malware popular devido às suas sofisticadas técnicas de persistência e evasão. Sua propagação baseada em spam também facilita sua distribuição pelos agentes de ameaças.

Saiba mais Solicite uma demo

O que é Emotet?

O Emotet foi uma das principais ameaças de malware até janeiro de 2021, quando uma força-tarefa internacional retirou o malware. No seu auge, o Emotet infectou 1,5 milhão de computadores em todo o mundo e causou danos estimados em US$ 2,5 bilhões antes de ser colocado offline.

A remoção de janeiro de 2021 criou apenas uma pausa de dez meses nas operações até novembro de 2021, quando o Emotet retornou. Ele aproveitou o escopo do botnet Trickbot para que as infecções existentes pelo Trickbot baixassem uma versão nova e melhorada do Emotet.

Entre as melhorias do Emotet estão criptografia mais forte, fluxos de controle aprimorados e novos mecanismos de infecção. O Emotet agora também oferece beacons Cobalt Strike, que são comumente usados em ataques direcionados. Ataques de ransomware.

Como isso se espalha?

O Emotet se espalha principalmente por e-mails de spam. Um sistema infectado pelo Emotet enviará e-mails de spam contendo links maliciosos ou documentos projetados para infectar computadores com o malware. Uma vez infectadas, essas máquinas podem baixar outros tipos de malware – como o malware Trickbot, QBot e Dridex – e trabalharão para continuar a propagar o malware.

No caso da ressurreição do Emotet, o malware reverteu suas operações normais, baixando-se principalmente em máquinas infectadas pelo Trickbot, e não o contrário. Isso proporcionou ao malware uma grande área inicial para começar a enviar e-mails de spam projetados para espalhar o malware.

DE ACORDO COM A CHECK POINT RESEARCH, o Emotet atingiu rapidamente 50% de sua atividade pré-remoção após sua ressurreição e continuou a crescer em 2022.

Indústrias Alvo

Como o Emotet é um malware de autopropagação que se espalha por meio de spam e phishing emails, não é comumente usado em ataques direcionados. Freqüentemente, o Emotet cria uma base em um sistema ou rede específico, e o malware baixado posteriormente pode usar esse acesso inicial para realizar ataques direcionados (como infecções por ransomware). O método de distribuição “pulverizar e orar” do Emotet significa que ele pode atingir qualquer setor, mas o malware é ocasionalmente usado para atingir setores específicos (como sistemas governamentais).

A ressurreição do Emotet por meio do botnet Trickbot também teve um impacto em sua distribuição geral entre os setores. O Trickbot geralmente tem como alvo setores de alto perfil como governo/militar, financeiro/bancário, manufatura, saúde, seguros/jurídico e transporte representando mais da metade de suas vítimas desde novembro de 2020. Com o Emotet baixado e instalado em máquinas infectadas pelo Trickbot, o malware Emotet começou com uma distribuição semelhante e desde então se ramificou a partir daí.

Como se proteger contra Emotet

O Emotet foi projetado para se espalhar por meio de spam e e-mails de phishing. Esses e-mails são enviados de máquinas e contas de e-mail comprometidas e usam links maliciosos e anexos infectados para induzir as pessoas a instalar o malware em seus sistemas.

Este foco em Phishing para distribuição significa que as organizações podem se proteger contra infecções do Emotet através das seguintes etapas:

Implante soluções de segurança de e-mail: O foco do Emotet no email significa que as soluções de segurança de email são um componente crítico de uma estratégia de prevenção do Emotet. Estas soluções devem ser capazes de identificar e bloquear links maliciosos e usar Desarme e reconstrução de conteúdo (Content Disarm and Reconstruction, CDR) para retirar funcionalidades maliciosas de documentos antes de permitir que conteúdo limpo chegue à caixa de entrada do destinatário.
Treinar funcionários: Os padrões de distribuição do Emotet dependem fortemente de enganar os destinatários para que cliquem em um link malicioso ou abram um anexo em um e-mail de spam. Treinar os funcionários para reconhecer e responder adequadamente aos e-mails de phishing é essencial para bloquear a propagação do Emotet. As táticas de “pulverizar e orar” da Emotet significam que vários funcionários podem ser atingidos pela mesma campanha, tornando os relatórios essenciais para a rápida detecção e resposta a incidentes.
Segurança do endpoint: Emotet é uma variante sofisticada de malware com técnicas avançadas de persistência e evasão. Isto faz soluções avançadas de segurança de endpoint vital para detectar e erradicar infecções Emotet que escapam e infectam um endpoint corporativo.
Monitoramento de rede: O Emotet é usado para fornecer amostras adicionais de malware a um dispositivo infectado por meio de comunicações de comando e controle. O monitoramento de rede pode ajudar a identificar esses downloads, permitindo que uma organização rastreie um endpoint infectado.

Detecção e proteção de Emotet com Check Point

Desde o seu ressurgimento, Emotet subiu rapidamente para ser mais uma vez uma das variantes de malware mais perigosas e prolíficas em operação. Sua sofisticação e design aprimorado significam que as infecções do Emotet podem permitir vários ataques e incorrer em custos e danos significativos para uma organização.

Para saber mais sobre a ameaça Emotet, confira o site da Check Point Relatório de cibersegurança 2023. Então, saiba mais sobre como proteger sua organização contra o Emotet, inscrevendo-se para uma demogratuita do endpoint do Check Point Harmony.