O Emotet é um trojan sofisticado e autopropagável. Embora tenha começado como um trojan bancário, seu design modular permitiu que ele evoluísse para ser um distribuidor de outros tipos de malware. O Emotet é frequentemente espalhado por e-mails de phishing contendo anexos ou links maliciosos.
O Emotet é um distribuidor de malware popular por causa de suas técnicas sofisticadas de persistência e evasão. Sua propagação baseada em spam também facilita a distribuição dos agentes de ameaças.
O que é Emotet?
O Emotet foi uma das principais ameaças cibernéticas até janeiro de 2021, quando uma força-tarefa internacional derrubou o malware. Em seu auge, o Emotet infectou 1,5 milhão de computadores em todo o mundo e causou danos estimados em US$ 2,5 bilhões antes de ficar offline.
Contudo, a ação de janeiro de 2021 resultou apenas em uma pausa de dez meses nas operações. Quando o Emotet retornou, se aproveitou do escopo do botnet Trickbot para fazer com que as infecções Trickbot existentes baixassem uma versão nova e aprimorada do Emotet.
Entre as melhorias do Emotet estão uma criptografia mais forte, fluxos de controle aprimorados e novos mecanismos de infecção. O Emotet agora também oferece beacons Cobalt Strike, que são comumente usados em ataques de ransomware direcionados.
Como o Emotet se espalha?
O malware se espalha principalmente por e-mails de phishing. Um sistema infectado com Emotet envia e-mails de spam contendo links maliciosos ou documentos projetados para infectar computadores. Uma vez infectadas, essas máquinas podem baixar outros tipos de malware – como o Trickbot, QBot e Dridex – e trabalharão para continuar propagando o malware.
De acordo com a Check Point Research, o Emotet atingiu rapidamente 50% de sua atividade pré-remoção após sua nova versão e continuou a crescer em 2022.
Indústrias-alvo
Como o Emotet é um malware autopropagável que se espalha por meio de spam e e-mails de phishing, ele não é comumente usado em ataques direcionados. Muitas vezes, o Emotet cria um ponto de apoio em um determinado sistema ou rede, e o malware baixado posteriormente pode usar esse acesso inicial para realizar ataques direcionados (como infecções por ransomware). O método de distribuição “spray and pray” do Emotet significa que ele pode atingir qualquer setor, mas o malware é ocasionalmente usado para atingir setores específicos (como sistemas governamentais).
A ressurreição do Emotet por meio do botnet Trickbot também teve um impacto em sua distribuição geral entre os setores. O Trickbot geralmente visa indústrias de alto perfil com governo/militar, finanças/bancos, manufatura, saúde, seguros/legais e transporte, representando mais da metade de suas vítimas desde novembro de 2020. Com o Emotet baixado e instalado em máquinas infectadas pelo Trickbot, o Emotet adquiriu uma distribuição semelhante e se ramificou a partir daí.
Como se proteger do Emotet?
O Emotet foi projetado para se espalhar por e-mails de spam e phishing. Esses e-mails são enviados de máquinas e contas de e-mail comprometidas e usam links maliciosos e anexos infectados para induzir as pessoas a instalar o malware em seus sistemas.
Esse foco no phishing para distribuição significa que as organizações podem se proteger contra infecções do Emotet por meio das seguintes estratégias:
Soluções de segurança de e-mail: Essas soluções devem ser capazes de identificar e bloquear links maliciosos e usar o desarme e reconstrução de conteúdo (CDR) para remover a funcionalidade maliciosa dos documentos antes de permitir que o conteúdo higienizado chegue à caixa de entrada do destinatário.
Treinamento de funcionários: Treinar funcionários para reconhecer e responder adequadamente a e-mails de phishing é essencial para bloquear a disseminação do Emotet. As táticas de “spray and pray” do Emotet significam que vários funcionários podem ser atingidos pela mesma campanha, tornando a conscientização dos funcionários algo crítico para a detecção e resposta rápidas de incidentes.
Segurança de endpoint: Emotet é uma variante de malware sofisticada com técnicas avançadas de persistência e evasão. Isso torna as soluções avançadas de segurança de endpoint vitais para detectar e erradicar infecções.
Monitoramento de rede: O Emotet é usado para propagar malwares adicionais a um dispositivo infectado por meio de comunicações de comando e controle (C2). O monitoramento de rede pode ajudar a identificar esses downloads, permitindo que uma organização rastreie um endpoint infectado.
Detecção e proteção do Emotet com a International IT e a Check Point
Desde seu ressurgimento, o Emotet rapidamente se tornou uma das variantes de malware mais perigosas e prolíficas em operação. Sua sofisticação e design aprimorado significam que as infecções do Emotet podem permitir vários ataques e incorrer em custos e danos significativos para uma organização.
Entre em contato com a International IT no formulário abaixo para testar gratuitamente a solução Check Point Harmony Endpoint.
Fonte: Cyber Hub
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.