Các cơ quan thực thi pháp luật từ tám quốc gia đã tháo dỡ cơ sở hạ tầng của Emotet, một phần mềm độc hại Windows dựa trên email khét tiếng đằng sau một số chiến dịch spam do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.
Cuộc gỡ xuống có phối hợp của botnet vào thứ Ba – có tên là “Chiến dịch Ladybird“- là kết quả của nỗ lực chung giữa các cơ quan chức năng ở Hà Lan, Đức, Mỹ, Anh, Pháp, Lithuania, Canada và Ukraine nhằm giành quyền kiểm soát các máy chủ được sử dụng để chạy và kiểm soát mạng phần mềm độc hại.
“Cơ sở hạ tầng Emotet về cơ bản hoạt động như một công cụ mở cửa chính cho các hệ thống máy tính trên quy mô toàn cầu”, Europol nói. “Điều khiến Emotet trở nên nguy hiểm là phần mềm độc hại này đã được đề nghị cho các tội phạm mạng khác thuê để cài đặt các loại phần mềm độc hại khác, chẳng hạn như Trojan ngân hàng hoặc ransomware, vào máy tính của nạn nhân.”
Hơn cả một phần mềm độc hại
Kể từ lần nhận diện đầu tiên vào năm 2014, Emotet đã phát triển từ nguồn gốc ban đầu là một kẻ đánh cắp thông tin xác thực và Trojan ngân hàng thành một “con dao Quân đội Thụy Sĩ” mạnh mẽ có thể hoạt động như một trình tải xuống, kẻ đánh cắp thông tin và spambot tùy thuộc vào cách nó được triển khai.
Được biết đến là liên tục được phát triển, dịch vụ tội phạm mạng thường xuyên tự cập nhật để cải thiện tính lén lút, tính bền bỉ và thêm các khả năng gián điệp mới thông qua một loạt các mô-đun, bao gồm Bộ phát Wi-Fi để xác định và xâm phạm các nạn nhân mới kết nối với mạng Wi-Fi gần đó.
Năm ngoái, phần mềm độc hại này đã được liên kết với một số chiến dịch thư rác do botnet điều khiển và thậm chí có khả năng cung cấp các tải trọng nguy hiểm hơn như TrickBot và Ryuk ransomware bằng cách cho các nhóm phần mềm độc hại khác thuê mạng botnet của các máy bị xâm nhập.
“Nhóm Emotet đã quản lý để đưa e-mail làm véc tơ tấn công lên một cấp độ tiếp theo”, Europol cho biết.
700 máy chủ Emotet bị thu giữ
Cơ quan Tội phạm Quốc gia của Anh (NCA) cho biết hoạt động này mất gần hai năm để lập bản đồ cơ sở hạ tầng của Emotet, với nhiều tài sản ở thành phố Kharkiv của Ukraine bị đột kích để tịch thu thiết bị máy tính được tin tặc sử dụng.
Các Người Ukraina Cục Cyberpolice cũng đã bắt giữ hai cá nhân được cho là có liên quan đến việc bảo trì cơ sở hạ tầng của mạng botnet, cả hai đều phải đối mặt với 12 năm tù nếu bị kết tội.
“Phân tích các tài khoản được sử dụng bởi nhóm đằng sau Emotet cho thấy 10,5 triệu đô la đã được chuyển trong khoảng thời gian hai năm chỉ trên một nền tảng Tiền ảo”, NCA nói, nói thêm “gần 500.000 đô la đã được nhóm chi tiêu trong cùng kỳ để duy trì cơ sở hạ tầng tội phạm của mình.”
Trên toàn cầu, các thiệt hại liên quan đến Emotet được cho là trị giá khoảng 2,5 tỷ USD, chính quyền Ukraine cho biết.
Với ít nhất 700 máy chủ do Emotet vận hành trên toàn thế giới hiện đã bị gỡ xuống từ bên trong, các máy bị nhiễm phần mềm độc hại hiện được chuyển hướng đến cơ sở hạ tầng-cơ quan thực thi pháp luật này, do đó ngăn chặn việc khai thác thêm.
Ngoài ra, Cảnh sát Quốc gia Hà Lan đã phát hành một dụng cụ để kiểm tra khả năng xâm phạm, dựa trên tập dữ liệu chứa 600.000 địa chỉ e-mail, tên người dùng và mật khẩu đã được xác định trong quá trình hoạt động.
Emotet to Be Wiped En Masse vào ngày 25 tháng 3 năm 2021
Cảnh sát Hà Lan, đã thu giữ hai máy chủ trung tâm đặt tại nước này, cho biết họ có triển khai một bản cập nhật phần mềm để vô hiệu hóa mối đe dọa do Emotet gây ra một cách hiệu quả.
Cơ quan này cho biết: “Tất cả các hệ thống máy tính bị nhiễm sẽ tự động truy xuất bản cập nhật ở đó, sau đó sự lây nhiễm Emotet sẽ được cách ly. Theo một tweet từ một nhà nghiên cứu bảo mật, người đã sử dụng Twitter dòng sữa, Emotet dự kiến sẽ bị xóa vào ngày 25 tháng 4 năm 2021, lúc 12:00 giờ địa phương khỏi tất cả các máy bị xâm nhập.
Với bản chất của hoạt động gỡ xuống, vẫn còn phải xem liệu Emotet có thể quay trở lại hay không. Nếu có, đây sẽ không phải là lần đầu tiên botnet tồn tại những nỗ lực gây gián đoạn lớn.
Về văn bản, Abuse.ch’s Feodo Tracker cho thấy ít nhất 20 máy chủ Emotet vẫn đang trực tuyến.
Europol cảnh báo: “Sự kết hợp của cả các công cụ an ninh mạng được cập nhật (chống vi-rút và hệ điều hành) và nhận thức về an ninh mạng là điều cần thiết để tránh trở thành nạn nhân của các mạng botnet tinh vi như Emotet,” Europol cảnh báo.
“Người dùng nên kiểm tra cẩn thận e-mail của mình và tránh mở các tin nhắn và đặc biệt là các tệp đính kèm từ những người gửi không xác định. Nếu một thông điệp có vẻ quá tốt là đúng thì rất có thể đó là những e-mail gợi cảm giác cấp bách bằng mọi giá. “
