近半年国际警方、IT业界对于僵尸网络的缉查动作频频,1月27日欧洲刑警组织(Europol)宣布,在欧美多个国家的政府通力合作之下,他们切断了Emotet的基础设施运行,而这是全球最危险的僵尸网络之一。这起攻坚行动是荷兰、德国、美国、英国、法国、立陶宛、加拿大,以及乌克兰等国家,与欧洲刑警组织及欧洲检察官组织(Eurojust),进行国际合作的成果。
Emotet最早是在2014年被发现,当时它是以金融木马程序的形态发动攻击,背后的黑客组织是TA542(也称Mummy Spider)。而这个恶意软件在多年发展之下,已经成为一个大型僵尸网络,并且变成黑客用来入侵计算机的常见渠道。攻击者一旦借其创建了未经授权的访问,便可以进一步窃取资料或是发动勒索软件攻击。在近期的攻击事件中,黑客经常运用Emotet来在受害计算机下载Qakbot(Qbot)与TrickBot,而后者更是受到勒索软件组织Ryuk与Conti大肆滥用。
Emotet是许多勒索软件攻击行动开端,根据CrowdStrike发布的《服务网络前线报告》所汇集整理的关联图,不只欧洲刑警组织提到的Ryuk,还有其他的勒索软件攻击也通过Emotet入侵受害计算机,包含了BitPaymer、DoppelPaymer、GradCrab、REvil等。(图片来源:CrowdStrike)
欧洲刑警组织指出,Emotet的基础设施涉及全球各地数百台服务器,而且它们都有不同的功能,不只控制受害计算机、传播Emotet病毒、提供其他犯罪组织服务,同时该僵尸网络的架构极具弹性,以防司法单位中断运行的情况。因此,想要完全阻断其基础设施,难度可说是相当高。而黑客滥用Emotet的情况时有耳闻,欧洲刑警组织形容是近10年来最重大的僵尸网络之一。其中,乌克兰国家警察队宣布逮捕其中2名嫌犯。
在该僵尸网络遭到拿下之后,受到Emotet病毒感染的计算机,将会被重定向,与司法机关管控的基础设施连接。根据ZDNet报道指出,荷兰执法机关正在更新该基础设施,来清除所有受害计算机的Emotet恶意软件。该新闻网站征询2家长期关注Emotet的安全公司说法,他们指出荷兰警方很可能计划在3月25日零时,全面移除受害计算机的恶意软件。
All Emotet epochs now are delivering the payload (https://t.co/Tv21VmJm4s) which has the code to remove Emotet on 25 March 2021 12:00. I believe that#Emotet#Killedpic.twitter .com/FnrdqZmQcd
—milkream (@milkr3am)January 27, 2021
究竟Emotet的危害有多严重?根据安全厂商PhishLabs的研究结果,Emotet是近一年半最为泛滥的恶意软件,其次才是去年10月一度被阻断基础设施的TrickBot。该厂商指出,有接近30%勒索软件攻击的加载器(Loader),都是使用Emotet。
