В течение 2019 года троян Emotet приобрел дурную славу в связи с рассылкой вредоносных писем. Кроме того, на него возлагается ответственность за содействие в распространении таких программ-вымогателей, как Ryuk.
В ходе последних кампаний операторы трояна Emotet создавали весьма оригинальные фишинговые электронные письма с приглашением внести свой вклад в меню предстоящей рождественской вечеринки. В другом приглашенииEmotet эксплуатировал стремление людей поддержать Грету Тунберг, «Человека 2019 года» по версии журнала «Тайм», призывая читателей присоединиться к демонстрации против бездействия в отношении изменения климата.
Любопытно, что Emotet, похоже, также не прочь выпустить пар в сторону компании ESET. Время от времени авторы трояна Emotet помещают в свой код комментарии, таким образом выражая либо свое недовольство ESET, либо, возможно, даже своего рода кратковременное восхищение:
Технологии обнаружения ESET постоянно блокируют Emotet и все прочие его разновидности, которые, безусловно, могут вызвать такого рода грубое замечание.[1]
[1] На скриншоте встречается комментарий “ESET stupid!!!” («ESET тупицы»).
Для компаний изощренная тактика социальной инженерии, применяемая Emotet, может вызвать обеспокоенность в части кибер-осведомленности ваших сотрудников, а также надежности ваших систем безопасности. Согласно недавнему исследованию журнала Virus Bulletin, троян Emotet по-прежнему способен обходить целый ряд имеющихся на рынке продуктов, предназначенных для защиты электронной почты. «Электронные письма, содержащие зараженные Emotet вредоносные вложения, продолжают оставаться наиболее трудными для блокирования», – говорится в сообщении Virus Bulletin.
К счастью для бизнес-пользователей службы ESET Mail Security для Microsoft Exchange Server, тестирование VBSpam показывает, что по сравнению с конкурентами ESET имеет самые высокие показатели обнаружения спама, фишинга и вредоносных программ с самым низким уровнем ложных срабатываний:
Эти показатели являются особенно важными, поскольку они необходимы компаниям для оценки их уровня защиты перед лицом текущих кампаний Emotet. Количество обнаружений трояна Emotet с помощью службы ESETLiveGnd® с сентября по декабрь 2019 года растет:
Многоуровневая защита в действии
Эти данные телеметрии – обнаружение и блокирование трояна Emotet до того, как он причинит какой-либо вред – это отличный индикатор уровня защиты, который имеют устройства, защищаемые ESET.
Следует помнить, что простое получение электронного письма и загрузка прикрепленного документа Word – это всего лишь один из способов, каким троян Emotet получает доступ к вашему устройству. Это вовсе не означает, что вашему компьютеру причинен вред. Для настройки безопасности по умолчанию при открытии вложений электронной почты используйте «Защищенный просмотр» с отключенными макросами. Это сделает вложение безвредным.
Но чтобы лучше понять, каким образом компания ESET обнаруживает и блокирует троян Emotet, давайте рассмотрим это вопрос глубже.
Обнаружение вредоносного вложения может быть выполнено даже в том случае, если оно не открывалось (в зависимости от степени его обфускации) с помощью анализа в песочнице и запроса его репутации. Служба ESET LiveGrid® собирает подозрительные образцы, отправленные миллионами рабочих станций, защищаемых ESET, со всего мира для анализа машинного обучения в облаке. Собранные знания о любых обнаружениях затем передаются через модуль ESET LiveGrid® Reputation System для защиты пользователей от угроз, обнаруженных в других частях мира.
В случае трояна Emotet, если пользователь должен открыть вредоносное вложение и по ошибке включить макросы, запускается набор команд PowerShell, которые пытаются связаться со взломанными доменами для загрузки другого вредоносного файла. Вредоносное поведение, отображаемое таким макрокодом, может быть обнаружено и отслежено благодаря уровням безопасности, таким как система предотвращения вторжений(HIPS) и обнаружение ДНК компании ESET.
HIPS – это основанная на поведении технология обнаружения, встроенная во многие продукты компании ESET, которая предоставляет расширенные возможности для мониторинга низкоуровневых вызовов API на предмет подозрительного поведения, которое необходимо дополнительно проверить или заблокировать.
В сочетании с технологией обнаружения ДНК компании ESET, которая обнаруживает «гены», характерные для вредоносного поведения, технология HIPS способна блокировать троян Emotet довольно эффективно.
Преимущество компаний заключается в том, что они могут полностью исключить необходимость того, чтобы компьютеры сотрудников вообще когда-либо сталкивались с электронными сообщениями, зараженными Emotet, усилив защищенность сети с помощью службы ESET Dynamic Threat Defense, которая способна протестировать вредоносные файлы в облачной песочнице за считанные минуты и, таким образом, предотвратить первоначальное проникновение вредоносных программ в сеть.
Это всего лишь несколько уровней безопасности, которые включают в себя передовые решения компании ESET и которые затрудняют работу киберпреступников, стоящих за такими кампаниями, как троян Emotet. Это бесспорный факт, что Emotet вернулся в 2019 году; но компании должны стремиться повысить свою компетентность в сфере безопасности перед лицом этой растущей тенденции и в 2020 году.
Вы можете получить последние версии инверсий управления (IoC) вредоносных программ Emotet, включая взломанные домены и адреса командных серверов, подписавшись на услуги ESET ThreatIntelligence (ETI), которые собирают данные с более чем 110 миллионов датчиков по всему миру.
