头号僵尸网络Emotet被联手制裁后,终于在世界范围内“自我毁灭”
2021-04-27
来源:关键基础设施安全应急响应中心
Emotet僵尸网络自2014年被发现以来,作为网络安全最严重的威胁之一,已经活跃了近七年之久。
该僵尸网络的攻击方式通常是通过电子邮件恶意附件来分发传播TrickBot和Qbot等恶意软件。
Emotet的攻击通常会导致网络被全面破坏。据美国国土安全部的估计,每次遭受Emotet感染,美国各州和地方政府都要花费100万美元进行清理。此外,2019年,德国、柏林高等法院在遭遇Emotet袭击后彻底重建了计算机系统。
在所有受感染的系统上部署赎金软件的有效载荷,包括Qbot的ProLock或Egregor,以及TrickBot的Ryuk和Conti。
就在今年一月,欧洲刑警组织宣布他们已经捣毁了臭名昭著的Emotet,并且开始向受感染的设备分发Emotet“自毁模块”,该模块会帮助受感染设备在2021年4月25日自动卸载Emotet分发的恶意软件。
在4月25日,该“自毁模块”已经生效,全球范围内受Emotet影响的设备都已删除了僵尸网络所带来的恶意软件。
Emotet“自毁模块”如何工作
在1月,欧洲刑警组织以32位EmotetLoader.dll的形式分发了一个Emotet模块,该模块将在2021年4月25日自动卸载该恶意软件。
该模块被触发后,只删除相关的Windows服务、自动运行注册表键,然后退出该进程,被攻击设备上的其他一切都不会有影响。
被推迟的“自毁”程序
据悉,之所以没有在1月立马运行该“自毁模块”是因为警方希望收集证据以及为清理前的准备工作提供时间。
在清理之前,需要对受影响的系统进行识别,以便抓住证据并使有关用户能够进行全面的系统清理,防止进一步的犯罪。
为此,警方对软件的通信参数进行了调整,使受害者系统不再与犯罪者的基础设施进行通信,而是与为扣押证据而建立的基础设施进行通信。对于是否还有其他原因,警方表示不便透露更多细节。
目前尚不清楚Emotet是否会“死灰复燃”,或者换个“马甲”杀回来。