Emotet: Por que o malware ‘mais procurado’ entrou em um hiato de 5 meses?
O Emotet é mais do que um malware. O grupo de ameaça ataca redes e aluga o acesso a outros grupos, como criptomoedas, trojans bancários e ransomwares. Desde seu retorno em meados de julho, o malware afetou 5% das organizações em todo o mundo.
O malware mais procurado retornou após um hiato de cinco meses em meados de julho de 2020. Ele marcou seu retorno com o envio de ondas de campanhas de spam que afetaram organizações em todo o mundo.
Conhecido como Emotet entre a comunidade de segurança cibernética, o grupo de malware quebrou seu período de inatividade em julho com uma campanha de ameaças massivas com mais de 250.000 e-mails contendo macros maliciosas.
No mesmo mês, impactou 5% das organizações em todo o mundo e atingiu o topo do Índice de Ameaças Globais, de acordo com a Check Point Research, uma empresa de segurança cibernética.
Um malware é um software usado intencionalmente para danificar redes de computadores para roubar dados. As informações roubadas costumam ser vendidas na dark web ou devolvidas ao proprietário em troca de resgate. Em outras ocasiões, os cibercriminosos simplesmente os expõem.
Os operadores da Emotet estavam espalhando campanhas de spam por conta própria e, em outras ocasiões, apoiando outros atores de ameaças para roubar credenciais bancárias e obter acesso ilícito a redes infectadas.
O método do grupo é simples; ele envia um documento malicioso chamado “form.doc” ou “invoice.doc” por e-mail para um usuário desavisado.
Depois que essa pessoa abre o anexo, o malware é implantado um PowerShell que executa códigos de sites remotos para espalhar a ameaça para toda a rede à qual o usuário está conectado.
A rede infectada será então adicionada ao botnet do Emotet. Isso significa que o hacker assume o controle total da rede a partir de um local remoto.
Modelo de ‘malware como serviço’
Esse tipo de ataque é chamado de operação de ‘carregador’; e a Emotet é considerada uma das maiores empresas do mundo do cibercrime, já que outros operadores de malware, como TrickBot e Qbot, alugam acesso do malware ‘mais procurado’.
A Emotet aluga redes infectadas para outros agentes de ameaças, como crio-mineiros, trojans bancários e instaladores de ransomware para obter acesso ilícito aos servidores da empresa.
O malware é operado da Rússia, e seu operador é apelidado de Ivan pelos pesquisadores de segurança cibernética.
Suas operações não começaram como um modelo de negócios de Malware as a Service (MaaS) há seis anos, quando começou a ganhar destaque no mundo do cibercrime.
Em 2014, o Emotet entrou clandestinamente nos dispositivos do usuário como um cavalo de Tróia bancário, entrou e roubou suas credenciais e senhas.
Em apenas alguns anos, o malware se transformou de um mero hacker isolado em um provedor de infraestrutura para que outros agentes de ameaças executem campanhas e roubem dados.
Sua maneira única de infectar redes, espalhando a ameaça lateralmente após obter acesso a apenas alguns dispositivos na rede, torna-o um dos malwares mais difíceis de vencer.
O recurso de autopropagação do Emotet apresenta um desafio específico para as organizações, pois as vítimas podem ser afetadas mesmo sem clicar em links maliciosos.
“Uma vez em um computador, o Emotet baixa e executa um módulo propagador que contém uma lista de senhas que ele usa para tentar o acesso de força bruta a outras máquinas na mesma rede”, disse a segurança da Symantec em um blog.
Cryptolaemus – o grupo de caçadores Mealybug
Durante 2016 e no ano seguinte, o Emotet, também conhecido como Mealybug, deixou de ser um pequeno grupo de hackers que roubava dinheiro de contas bancárias em um carregador de malware que dava acesso a outros grupos de ameaças.
Ele mudou sua base de código para infectar as vítimas e permitir que outros operadores de malware alugassem a rede.
E à medida que o número de campanhas de ameaças usando o Emotet aumentava, um grupo de pesquisadores de segurança de diferentes organizações decidiu se reunir e compartilhar inteligência sobre ameaças no malware.
Em 2018, eles formaram um grupo chamado Cryptolaemus para compartilhar detalhes sobre indicadores de comprometimento (IoC) com a comunidade infosec mais ampla. O grupo postou atualizações em sua página da web e no Twitter. Seu objetivo singular é encerrar o Mealybug.
Os detalhes compartilhados pelo grupo foram usados por administradores de rede de outras empresas para detectar qualquer ameaça desde o início. Curiosamente, as notas do grupo também foram seguidas pelos operadores da Emotet.
“Nós os vimos [Emotet] mudar de tática minutos depois de nossas postagens, com frequência suficiente para ser mais do que uma simples coincidência. Tenho certeza de que eles fazem parte dos muitos que lêem nossas postagens assim que vão ao ar”, Joseph Roosen, um Um membro da Cryptolaemus e especialista em segurança cibernética disse à ZDnet.
Roosen também compartilhou que o grupo “até brincou que eles (Emotet) estão agora chamando os três botnets de Epoch 1, Epoch 2 e Epoch 3 internamente (com base nos nomes que atribuímos a eles).”
A equipe teve algum sucesso inicial em ajudar as empresas a combater a Emotet.
Na verdade, o grupo de malware interrompeu sua campanha por algum tempo, quase um ano depois que o grupo de caça a bugs começou a compartilhar informações.
“É interessante que o Emotet tenha ficado inativo por vários meses no início deste ano, repetindo um padrão que observamos pela primeira vez em 2019”, disse Maya Horowitz, diretora de Inteligência e Pesquisa de Ameaças, Produtos da Check Point.
Mas descobriu-se que o Emotet estava, na verdade, atualizando seus recursos e capacidades para aprimorar ataques futuros. Eles não planejavam bater ainda.
A vulnerabilidade e a vacina
Os ataques de Emotet aumentaram no final de 2019 e continuaram até fevereiro de 2020. Justamente quando a pandemia estava afetando muitos países, a campanha do malware foi interrompida.
O motivo: alguém do grupo Cryptolaemus encontrou uma vulnerabilidade no malware.
“Assim como os invasores podem explorar falhas em softwares legítimos para causar danos, os defensores também podem fazer a engenharia reversa do malware para descobrir suas vulnerabilidades e explorá-las para derrotar o malware”, disse James Quinn, analista de segurança da Binary Defense em seu blog.
Quinn descobriu um bug no Emotet que poderia ser explorado. Ele detectou uma mudança no mecanismo de persistência do malware, um código que sobrevive às reinicializações do computador.
No início de fevereiro, a Emotet lançou uma reformulação massiva da base de código que revelou mudanças no mecanismo de instalação e persistência.
Como parte da mudança, o malware removeu a lista de palavras e o algoritmo de geração de arquivos, que eram usados em suas instalações anteriores.
Em vez disso, o Emotet substituiu um novo algoritmo que gerou um nome de arquivo para salvar o malware em cada sistema da vítima por exe ou dll escolhido aleatoriamente.
Este nome de arquivo foi criptografado com uma chave exclusiva e salvo em um valor de registro definido como o número de série do volume da vítima.
“Cerca de 37 horas depois que a Emotet revelou essas mudanças, James Quinn terminou a primeira versão do killswitch (ou vacina) que acabou se tornando o EmoCrash”, disse o Binary Defense em um blog.
O killswitch geraria o valor da chave de registro para cada vítima e definiria os dados para eles como nulos.
Quando o Emotet verifica o registro do marcador de instalação, ele encontra o valor nulo recém-gerado e gera o nome exe “.exe”, acrescentou.
Embora esse mecanismo funcionasse, era muito confuso e ainda permitia a instalação do Emotet – apenas impedia que o Emotet fosse executado com êxito e alcançasse a rede.
Quinn queria aumentar a eficácia do killswitch para que pudesse prevenir um ataque Emotet.
Sua segunda versão explorou um estouro de buffer simples descoberto na rotina de instalação do Emotet, o que fez o Emotet travar durante a instalação do malware, mas antes que o malware caísse nos locais normais de instalação do Emotet, evitando completamente a instalação do malware.
Quinn e a equipe de pesquisadores da infosec mantiveram o killswitch privado para que os atores do malware não soubessem sobre a vacina que encontraram.
Este killswitch estava ativo entre 6 de fevereiro de 2020 – 6 de agosto de 2020 ou 182 dias – – um período de hiato da Emotet.
Fonte: https://www.thehindu.com/sci-tech/technology/emotet-why-did-the-most-wanted-malware-go-on-a-5-month-hiatus/article32443939.ece
Imagem: Getty Images | iStockphoto