Ponad 200 nowych wersji dziennie – twórcy konia trojańskiego Emotet są odpowiedzialni za obecnie najbardziej produktywną kampanię cyber przestępczości. W samej pierwszej połowie 2019 roku firma G DATA dotarła do większej liczby wersji niż w całym roku 2018.
Koń trojański Emotet to jedno z najbardziej powszechnych oraz najniebezpieczniejszych zagrożeń, jakim muszą stawiać czoła firmy. Tę uniwersalną broń przestępcy wykorzystują głównie dla celów ukierunkowanych kampanii szpiegowskich w firmach. Po wstępnym zainfekowaniu przychodzi pora na kolejne złośliwe oprogramowanie, takie jak ransomware Trickbot lub Ryuk. Jedynie w pierwszej połowie 2019 roku eksperci ds. zabezpieczeń firmy G DATA odnotowali ponad 33 000 odmian złośliwego oprogramowania – to więcej niż w całym 2018 roku. Przestępcy jeszcze częściej wprowadzają zmiany w swoim złośliwym oprogramowaniu przy pomocy tak zwanych „krypterów”, które nadają mu nowy wygląd oraz mają na celu zapobiegać wykryciu złośliwego oprogramowania przez takie rozwiązania zabezpieczające jak G DATA Total Security. W zeszłym roku firma G DATA zaobserwowała około 28 000 wersji złośliwego oprogramowania, co daje średnio 70 wersji na dzień.
Coraz więcej wersji konia trojańskiego Emotet
W pierwszej połowie 2019 roku w bazach danych zarejestrowano ponad 33 000 wersji konia trojańskiego Emotet. Wygląda na to, że przestępcy próbują coraz szybciej wprowadzać do obiegu coraz to nowe wersje. Firma G DATA wykorzystuje opartą na sztucznej inteligencji technologię DeepRay, która ma zapobiegać najszybszemu w historii rozprzestrzenianiu się tego złośliwego oprogramowania. DeepRay opiera się na wieloletnim doświadczeniu w zakresie analizowania złośliwego oprogramowania i przetwarza je przy użyciu specjalnie opracowanych algorytmów. Oznacza to, że takie zagrożenia, jak Emotet mogą być dużo szybciej wykrywane i blokowane. Koń trojański Emotet jest niebezpieczny nie tylko z uwagi na ilość nowych wersji:
Przestępcy wykorzystują w tle takie najnowocześniejsze technologie, jak sztuczna inteligencja czy grafowe bazy danych, które sprawiają, że ataki stają się jeszcze bardziej wiarygodne – mówi Tim Berghoff, Specjalista ds. Bezpieczeństwa G DATA Software. – Nie natkniemy się już na e-maile ze spamem wysyłane w imieniu domniemanych książąt nigeryjskich – teraz wyglądają one jak standardowe transakcje biznesowe. Ciężko je wykryć nawet przeszkolonym pracownikom.
Sam Emotet działa jak pewnego rodzaju przyczółek w ramach zainfekowanego systemu użytkownika. Większość złośliwego oprogramowania rozprzestrzenia się za pośrednictwem dokumentów Worda zawierających złośliwe makra. Następnie w celu nakłonienia użytkowników do ich aktywowania wykorzystywane są techniki inżynierii społecznej. W dalszej kolejności następuje wykonanie w tle komendy Powershell, mające na celu zainstalowanie właściwego złośliwego oprogramowania. Po zainfekowaniu Emotet może pobrać wiele modułów. Opisaliśmy je w szczegółach w innym poście na blogu.
Na daną chwilę firmy mogą nieco odetchnąć
Mimo rekordowych danych za pierwsze półrocze, w ostatnich tygodniach spadła liczba nowych infekcji opartych na koniu trojańskim Emotet. Od 8 czerwca firma G DATA otrzymuje o wiele mniej nowych próbek, a liczba infekcji również się zmniejszyła. Możliwe, że w grupie przestępczej stojącej za tym koniem trojańskim wdrażane są jakieś zmiany.