430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後

年初歐洲刑警組織與8國警方合作拿下Emotet殭屍網路,2021對網路安全界來說有個好的開始,一次全球性的協力行動(Operation Ladybird)瓦解了這個被媒體形容為全球散播最廣、「最會裝」的木馬。它的相關事蹟有:
-偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊
以Windows更新作為誘餌
散播Nozelesn勒索病毒載入程式
在全球建立了721個非重複的 C&C 伺服器

趨勢科技作為從2014年第一個偵測並持續分析該木馬程式的資安廠商,我們特別高興能夠看到這個結果。並持續盡己所能地支援打擊網路犯罪執法部門的工作。

但誰也沒有把握這會不會是Emotet上新聞版面的最終回。

Emotet的演變


Emotet於2014年首次出現,當時我們發現一隻現在看來相對簡單的銀行木馬透過網路釣魚郵件散播。經過這些年來多次的演變,它成為了惡意軟體即服務殭屍網路,為願意付錢的人提供對受感染電腦的存取能力。不幸的是這樣的人很多,包括像Ryuk這樣的勒索病毒組織以及Trickbot這樣的資料竊取木馬。它們很快地利用Emotet所提供的初始存取能力來部署更多的惡意檔案到受害電腦。

延伸閱讀: 銀行木馬Emotet 再進化, 新增 Wi-Fi 散播能力

Emotet的成功凸顯出兩件事:

  1. 看似簡單的網路釣魚活動持續散播感染。
  2. 網路犯罪經濟日趨成熟,發展出自己高度專業化的供應鏈。

正如歐洲刑警組織所說,Emotet能透過網路上的裝置進行橫向散播,使其成為近期最有彈性的惡意軟體之一。

事實上,它是趨勢科技在過去幾年所監控到最大的威脅之一,偵測數始終保持在前十大攻擊活動 – 根據美國司法部,有超過160萬台的受害電腦。

Emotet幕後的黑手們彼此聯繫緊密且資金雄厚


雖然不可能在瓦解行動後就立即清除所有 Emotet 的感染痕跡,但隨著殘餘感染的不斷清除,此威脅已經逐步消除,就像抑制新冠肺炎(COVID-19)疫情的各種限制措施或疫苗接種的影響一樣。

但未來會如何?

目前尚不清楚該組織的哪些成員被關押,還有哪些資源可用於重新開始運作。Emotet的領導者可能會記取教訓–不太可能會重複相同的錯誤,讓執法部門能夠奪取對其基礎設施的控制。

Emotet幕後的黑手們彼此聯繫緊密且資金雄厚。我們預計該組織仍在逃的資深成員們會尋求跟其信任的組織(可能是Trickbot)合作,購買其殭屍網路並重新開始。

荷蘭警察提供工具檢視帳號資訊是否列入 430萬筆被入侵帳號


網路安全界正朝著正確的方向前進,沒有什麼比高調的逮捕行動和對基礎設施的全面查封更能警告仍逍遙法外的人。荷蘭警察在這點上做得很出色,主動在犯罪論壇上發文來讓壞人心驚膽跳。一篇預警留言寫著:「每個人都會犯錯。我們在等著你。」

此外,荷蘭警察還提供了這個工具來檢視自己的帳號資訊是否出現在430萬筆被入侵帳號名單中。

在趨勢科技,我們與執法部門在處理此類案件上有著長期且成功的合作夥伴關係。在過去有著多次成功的逮捕和定罪,我們會持續地盡己所能,在需要的時候分享我們的全球威脅情報和專業知識。

延伸閱讀:
為什麼 FBI 將 SpyEye 定罪是件大事?
趨勢科技歷年來打擊網路犯罪成果

國際執法合作夥伴關係能夠持續做好,就能夠讓世界變得更加安全。網路犯罪就跟網路安全一樣,終究是關於人的挑戰。

@原文出處:Emotet One Month After the Takedown 作者:Erin Johnson