נוזקת Emotet השתדרגה, חיה ובועטת

אין רגע דל למגנים בסייבר: Emotet, שהתחילה כסוס טרויאני, הפכה לבוטנט שהיה לאחד האיומים הנפוצים ביותר בעולם, הושבתה ושבה לפעול – חיה ובועטת, תוקפת ומסבה נזק, עם שדרוגים ביכולות הפגיעה שלה. הדברים עולים ממחקר חדש של ESET.

Emotet היא קבוצת נוזקות שהחלה לפעול ב-2014 ומופעלת על ידי קבוצת פשיעת סייבר שנקראת Mealybug או TA542. היא החלה את דרכה בעולם הסייבר כסוס טרויאני להדלפת נתונים בנקאיים. לאחר מכן היא התפתחה לבוטנט שאיים מאוד, ותקף, גורמים שונים. ב-2021, נוזקת Emotet הייתה במוקד של מאמץ בינלאומי משותף של שמונה מדינות להשבתתה – מהלך שצלח רק באופן חלקי. המאמץ תואם על ידי ה-Eurojust – סוכנות אכיפה שיפוטית של האיחוד האירופי – והיורופול.

מספר גדול של קמפיינים להפצת דואר זבל

נוזקת Emotet שבה לחיים בנובמבר 2021 והפעילה מספר גדול של קמפיינים להפצת דואר זבל. אלה הגיעו לסיום פתאומי באפריל 2023. בקמפיינים האחרונים של 2022-2023, מרבית המתקפות שזיהו חוקרי ESET כוונו ליפן, שחוותה כמעט מחצית מכלל המתקפות (43%), כשאחריה איטליה (13%), ספרד (5%), מקסיקו (5%) ודרום אפריקה (4%).

"Emotet מופצת באמצעות הודעות זבל במייל. היא עלולה להדליף מידע ממחשבים מודבקים ולהפעיל בהם נוזקות חיצוניות. מפעילי Emotet לא בוחרים את המטרות שלהם בקפדנות, והם מתקינים את הנוזקה על מערכות ששייכות לאנשים פרטיים, חברות קטנות וארגונים גדולים", אמר יקוב קלוש, חוקר אבטחה ב-ESET, שעבד על ניתוח הנתונים שבמחקר.

יש לציין שמסוף 2021 ועד אמצע 2022, נוזקת Emotet הופצה בעיקר באמצעות קבצי וורד ואקסל, שבהם הוטמע תסריט מאקרו VBA. ביולי 2022, מיקרוסופט האטה את הפעילות של משפחות נוזקות כמו Emotet ו-Qbot – שהשתמשו בהודעות פישינג במייל הכוללות מסמכים זדוניים כדי להפיץ את עצמן – באמצעות ביטול האפשרות להפעלת תסריטי מאקרו VBA במסמכים שהורדו מהאינטרנט.

דרכים חדשות להדבקת המטרות בנוזקה

קלוש ציין כי "חסימת וקטור ההתקפה העיקרי של Emotet גרם למפעיליה לחפש דרכים חדשות להדבקת המטרות שלהם בנוזקה. חברי Mealybug החלו להתנסות בקבצי LNK ו-XLL זדוניים. עם זאת, עד סוף 2022, מפעילי Emotet לא הצליחו למצוא וקטור תקיפה חדש שיהיה אפקטיבי כמו תסריטי מאקרו VBA. השנה הם הפעילו שלושה קמפיינים נפרדים להפצת נוזקות באמצעות דואר זבל, כשכל אחד מהם בוחן כיוון אחר להתגנבות למערכות וטכניקות הנדסה חברתית שונות. היקפן המצטמצם של המתקפות והשינויים התכופים בגישה עשויים להצביע על כך שהם לא היו מרוצים מהתוצאות".

שדרוגים בנוזקה

לאחר הופעתה מחדש, הנוזקה זכתה לכמה שדרוגים. העיקריים שבהם אלה החלפת סכמת ההצפנה והטמעה של כמה הסוואות שונות, שנועדו להגן על המודולים שלהם. מפעילי Emotet השקיעו מאמצים משמעותיים במניעת זיהוי הנוזקה שלהם ומעקב אחריה מאז חזרתם לפעילות. בנוסף, הם הטמיעו כמה מודולים חדשים ושיפרו את אלה הקיימים, כדי לשמור על הרווחיות שלהם.

Emotet מופצת, כאמור, באמצעות הודעות זבל במייל, ובמקרים רבים אנשים מתייחסים להודעות האלה כאמינות, כיוון שהן משתמשות בהצלחה בטכניקות להתפרצות לשרשור מיילים קיימים. לפני ההשבתה, נוזקת Emotet השתמשה במודולים שהחוקרים כינו "גונב איש קשר מאאוטלוק" ו-"גונב מיילים מאאוטלוק". אלא שכיוון שלא כולם משתמשים בתוכנת המייל המיקרוסופטית החינמית, לפני ההשבתה, Emotet התמקדה גם באפליקציית מייל חינמית חלופית נוספת – Thunderbird. בנוסף, היא החלה להשתמש במודול לגניבת פרטי כרטיסי אשראי מגוגל כרום, שגונב מידע אודות כרטיסי אשראי שמאוחסן בדפדפן זה.