Emotet padl. Botnet, který byl, podle některých zdrojů, použitý k získání iniciálního přístupu až v 1/3 malwarových útoků, skončil. Alespoň tak zněly oslavné zprávy. Existuje však několik důvodů k tomu, abychom Emotet neodpisovali a nepovažovali za vyřešený problém.

27. ledna 2021 zveřejnil Europol zprávu o tom, že se jim ve spolupráci s bezpečnostními složkami z dalších organizací a zemí podařilo převzít kontrolu nad celou řídící infrastrukturou botnetu Emotet. Díky tomu dokázali identifikovat oběti, zastavit šíření a dokonce zajistit automatické odinstalování z nakažených počítačů (má proběhnout 25.4.2021). Nizozemská policie navíc nabízí nástroj k ověření, zda se útočníci dostali k vašemu e-mailu a přístupovým údajům.

Pro svět kyberzločinu jde určitě o velkou ztrátu. Emotet byl jednou z prvních vlaštovek, které umožnily dnešní dodavatelský řetězec ransomwaru (psal jsem o něm minule), a sloužil jako nejčastější způsob, jak se dostat do infrastruktury, kde jste, jako kyberzločinec, chtěli spustit svůj ransomware, či trojan. Klasické metody phishingu a šíření v síti v kombinaci s inovativními úpravami autorů a velikostí botnetu z Emotetu udělali lídra v hrozbách pro většinu organizací. Své by o tom věděli i ve více organizacích u nás, např. v Nemocnici Benešov. Ztráta kontroly nad touto rozsáhlou infrastrukturou by, i přes ostatní faktory, měla znamenat konec Emotetu. Neradujme se však předčasně.

I když došlo k zatčením, byli zatčeni pouze lidé zodpovědní za infrastrukturu. Hlavní část skupiny je stále velkou neznámou. S nepoužitelnou infrastrukturou nemůže Emotet rozesílat phishingové e-maily ani kontrolovat nakažené počítače, čili nedochází k dalšímu šíření. Obnovení se zdá nemožné. Autorem Emotetu však hraje do karet poměrně významná skutečnost – počítače nakažené Emotetem budou často nakažené jiným malwarem. Právě tento jiný malware by mohly autoři Emotetu využít ke znovunakažení, i po odinstalování Emotetu. Za pravděpodobné považujeme i to, že kód, který zajišťoval běh celé infrastruktury, mají autoři k dispozici a budou schopni jej rychle postavit nanovo.

Podobný pád jsme již viděli v případě řídící infrastruktury malwaru TrickBot v říjnu 2020. Pár týdnů bylo ticho, ale pak se TrickBot vrátil s novou infrastrukturou a novými triky. Absence Emotetu také neznamená, že část útoků najednou přestane. Právě naopak, jeho místo zaplní další ambiciózní hráči, jako např. Dridex. Pro potenciální oběti se tak pádem Emotetu situace nezlepší.

Co ale vaši situaci v boji proti kybernetickým útokům určitě zlepší je komplexní přístup k zabezpečení vaší IT infrastruktury. Od prevence, přes přesnou detekci zaměřenou na útoky, které ohrožují vaši činnost až po rychlou reakci a obnovení provozu po kybernetickém útoku. V každé fázi tohoto procesu vám rádi pomůžeme v našem bezpečnostním dohledovém centru AXENTA CyberSOC.

Dávid Kosť, Lead Security Analyst, AXENTA a.s.

Peter Jankovský, CTO, AXENTA a.s.

Obrázek: Freepik