法執行機関の調整操作がEmotetトロイの木馬を混乱させる
Emotetとして知られる有毒なマルウェアは、Eurpol、FBI、および法執行機関による大規模な協調運用により、打撃を受けました。
作者は、カナダ、フランス、ドイツ、リトアニア、オランダ、ウクライナ、英国、米国からの操作に参加し、一緒に働いて、約2年間マルウェア除去操作を続けました。
Emotetは、2014年に最初に実際に観察され、その時点で、電子メールスパムや、Word、Excelなどの悪意のあるドキュメントを介して配布されていることが判明しました。
研究者は、次のように説明しています。「このような手紙は、請求書、運送状、アカウントのセキュリティ警告、パーティの招待状、またはコロナウイルスの拡散に関する情報に偽装される可能性があります。つまり、ハッカーは世界的な傾向に厳密に従い、おとりの手紙を絶えず改善しました。」
かつては古典的なバンキング型トロイの木馬のように始まったマルウェアは、すぐに悪意のあるモジュールを備えた強力なダウンローダーとして進化しました。マルウェアの作成者はすぐに、さまざまなサイバー犯罪グループとの協力を開始しました。
ターゲットシステムへのインストールが成功した後、マルウェアはさまざまなスパムメッセージの送信を開始し、デバイスに追加のマルウェアをインストールしました。これは、Trickbot、マイナー、情報スティーラーなどの他のバンキング型トロイの木馬や、Ryukなどのランサムウェアをダウンロード/インストールするために使用されました。
Europolはレポートの中で、Emotetは「世界で最も危険なマルウェア」であると述べています。また、彼らはそれを「過去10年間で最も著名なボットネットの1つ」と宣言しました。
法執行機関が提供するように、このマルウェアを排除する操作は、この種の最大の操作であり、全世界に影響を与えます。
欧州サイバー犯罪センターのオペレーション責任者であるフェルナンド・ルイスは、次のように述べています。しかし、しばらくの間、[私たちの業務]はサイバーセキュリティにプラスの影響を与えるでしょう。」
当局によると、Emotetインフラストラクチャは恒久的に押収されていたため、詐欺師はハッキングされたシステムを使用できなくなります。つまり、マルウェアを新しいターゲットに拡散することはできません。
Europolの専門家は、「Emotetのインフラストラクチャには、世界中に数百台のサーバーがあり、それぞれが感染した被害者のコンピューターを管理し、新しいマシンに拡散し、他の犯罪グループにサービスを提供し、最終的にネットワークを切断の試みに対してより回復力のあるものにします」と述べています。
3つの主要な制御サーバーのうち2つはオランダ語であったため、これは盗まれた電子メールアドレスとユーザー名およびパスワードのデータベースが見つかった場所です。ユーザーは、オランダの警察のWebサイトにアクセスして、このウイルスによってハッキングされたかどうかを確認できます。
また、法執行官は、コマンドアンドコントロールサーバーにアクセスすることにより、感染したホストに特別な更新を展開します。ユーザーは、2021年3月25日現地時間12:00までに、コード「時限爆弾を刻む」を使用してシステムからEmotetウイルスを削除する必要があります。