מחלקת המחקר של חברת אבטחת המידע ESET מפרסמת סיכום של ההתרחשויות הנוגעות לנוזקת ה-Botnet המכונה Emotet החל מחזרתה לחיים לאחר תקופת השבתה קצרה. Emotet היא קבוצת נוזקות שהחלה לפעול ב-2014 ומופעלת ע״י קבוצת פשיעת סייבר המכונה בשמות Mealybug או TA542. היא אמנם התחילה כסוס טרויאני להדלפת נתונים בנקאיים, אך לאחר מכן התפתחה לכדי Botnet שהפך לאחד מהאיומים הנפוצים ביותר בעולם. בשנת 2021, Emotet הייתה המטרה של השבתה מוגבלת כתוצאה ממאמץ בינלאומי משותף של שמונה מדינות, שתואם ע״י ה-Eurojust וה-Europol. נוזקת Emotet חזרה לחיים בנובמבר 2021 והפעילה מספר גדול של קמפיינים להפצת דואר זבל, שהגיעו לסיום פתאומי באפריל 2023. בקמפיינים האחרונים של השנים 2022-2023, מרבית המתקפות שזוהו ע״י ESET כוונו ליפן (כמעט חצי מכלל המתקפות), איטליה, ספרד, מקסיקו ודרום אפריקה.
״Emotet מופצת באמצעות הודעות זבל בדוא״ל. היא יכולה להדליף מידע ממחשבים מודבקים ולהפעיל בהם נוזקות חיצוניות. מפעילי Emotet לא בוחרים את המטרות שלהם בקפדנות, והם מתקינים את הנוזקה על מערכות השייכות לאנשים פרטיים, חברות קטנות וארגונים גדולים״, אומר יקוב קלוש, חוקר אבטחה של ESET שעבד על הניתוח.
החל מסוף 2021 ועד אמצע 2022, Emotet הופצה בעיקר באמצעות קבצי Word ו-Excel של Microsoft שבהם הוטמע תסריט מאקרו VBA. החל מיולי 2022, Microsoft שינתה את כללי המשחק למשפחות נוזקות כמו Emotet ו-Qbot – שהשתמשו בהודעות דיוג בדוא״ל הכוללות מסמכים זדוניים כדי להפיץ את עצמן – באמצעות ביטול האפשרות להפעלת תסריטי מאקרו VBA במסמכים שהורדו מהאינטרנט.
״חסימת וקטור ההתקפה העיקרי של Emotet (ע״י הרשויות) גרם למפעיליה לחפש דרכים חדשות להדבקת המטרות שלהם בנוזקה. קבוצת Mealybug החלה להתנסות בקבצי LNK ו-XLL זדוניים. עם זאת, עד סוף 2022, מפעילי Emotet עדיין לא הצליחו למצוא וקטור התקפה חדש שיהיה אפקטיבי כמו תסריטי מאקרו VBA. בשנת 2023, הם הפעילו שלושה קמפיינים נפרדים להפצת נוזקות באמצעות דואר זבל, כשכל אחד מהם בוחן כיוון אחר להתגנבות למערכות וטכניקות הנדסה חברתית שונות״, הרחיב קלוש. ״עם זאת, היקפן המצטמצם של המתקפות והשינויים התכופים בגישה עשויים להצביע על כך שהם לא היו מרוצים מהתוצאות״.
לאחר מכן Emotet הוטמעה בקבצי OneNote של Microsoft, ולמרות ההתראה המציינת שהפעלה שלהם עשויה להוביל לתוכן זדוני, אנשים נטו ללחוץ על הקובץ.
לאחר הופעתה מחדש, הנוזקה זכתה למספר שדרוגים. העיקריים שבהם הם החלפת סכמת ההצפנה והטמעה של מספר הסוואות שונות שנועדו להגן על המודולים שלהם. מפעילי Emotet השקיעו מאמצים משמעותיים במניעת זיהוי הנוזקה שלהם ומעקב אחריה מאז חזרתם לפעילות. בנוסף, הם הטמיעו מספר מודולים חדשים ושיפרו את המודולים הקיימים כדי לשמור על הרווחיות שלהם.
Emotet מופצת באמצעות הודעות זבל בדוא״ל, ובמקרים רבים אנשים מתייחסים להודעות האלה כאמינות מכיוון שהן משתמשות בהצלחה בטכניקות להתפרצות לשרשור הודעות דוא״ל קיים. לפני ההשבתה, נוזקת Emotet השתמשה במודולים שאנו מכנים ״גונב איש קשר מ-Outlook״ ו-״גונב הודעות דוא״ל מ-Outlook״, שהיו מסוגלים לגנוב הודעות דוא״ל ופרטים של אנשי קשר מתוכנת Outlook. עם זאת, מכיוון שלא כולם משתמשים ב-Outlook, לפני ההשבתה, Emotet התמקדה גם באפליקציית מייל חינמית חלופית נוספת – Thunderbird. בנוסף, היא החלה להשתמש במודול לגניבת פרטי כרטיסי אשראי מ-Google Chrome, שגונב מידע אודות כרטיסי אשראי שמאוחסן בדפדפן Google Chrome.
על פי המחקר והטלמטריה של ESET, נוזקות Botnet ממשפחת Emotet הפכו לשקטות החל מתחילת אפריל 2023, כשנראה שהיא נובעת מכך שהקבוצה עוסקת בחיפוש וקטורי התקפה אפקטיביים חדשים. מרבית ההתקפות שזוהו ע״י ESET החל מינואר 2022 ועד היום כוונו ליפן (43%), איטליה (13%), ספרד (5%), מקסיקו (5%) ודרום אפריקה (4%).
זיהויים של Emotet ע״י ESET: ינואר 2022 – יוני 2023