欧洲当局扰乱Emotet-世界上最危险的恶意软件

多达八个国家的执法机构拆除了该地区的基础设施表情符号，这是一个臭名昭著的基于电子邮件的Windows恶意软件，在过去十年中，该软件在几次僵尸网络驱动的垃圾邮件活动和勒索软件攻击中居于幕后。

周二对僵尸网络的协同拆除—；被称为“瓢虫行动“和8212”是荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰的权威机构共同努力控制运行和维护恶意软件网络的服务器的结果。

不仅仅是恶意软件

自2014年首次识别以来，Emotet已经从最初的凭证窃取和银行特洛伊木马演变为强大的“瑞士军刀”，根据部署方式，它可以充当下载程序、信息窃取程序和spambot。

网络犯罪服务以不断开发而闻名，它定期更新自身，以提高隐蔽性、持久性，并通过一系列模块增加新的间谍功能，包括最近添加的一个Wi-Fi扩展器，用于识别和危害连接到附近Wi-Fi网络的新受害者。

去年，该恶意软件与几次僵尸网络驱动的垃圾邮件活动有关，甚至能够通过将其受损机器的僵尸网络出租给其他恶意软件团体，来传递更危险的有效载荷，如TrickBot和Ryuk勒索软件。

“Eytht组设法把电子邮件作为攻击向量，达到了下一级，”欧洲刑警组织说。

警方检获700台Emotet服务器

英国国家犯罪局（NCA）表示，这项行动花了近两年时间来映射艾默特的基础设施，乌克兰Kharkiv市的多个财物突袭，以没收黑客使用的计算机设备。

乌克兰网络警察局还逮捕了两名涉嫌参与僵尸网络基础设施维护的个人，如果罪名成立，他们将面临12年监禁。

NCA称，“对Emotet背后的组织使用的账户进行分析后发现，两年内，只有一个虚拟货币平台上转移了1050万美元，”并补充说，“该组织在同一时期花费了近50万美元来维护其犯罪基础设施。”

乌克兰当局表示，在全球范围内，据称与Emotet有关的损失约为25亿美元。

目前，Emotet在全球运营的至少700台服务器已被从内部拆除，受恶意软件感染的机器将被定向到这一执法基础设施，从而防止进一步的利用。

此外，荷兰国家警察局发布了一个工具，根据一个包含60万个电子邮件地址、用户名和密码的数据集，检查是否存在潜在的危害。

Emotet to Be Wiped En Masse on April 25, 2021

该机构说：“所有受感染的计算机系统将自动检索那里的更新，之后将隔离Emotet感染。”。根据推特处理MykRAMM的安全研究员的推特，预计Emotet将于2021年4月25日在当地时间12:00从所有受损的机器上被擦拭。

Malwarebytes的研究人员证实了这一发现，他们表示，移除恶意软件的有效载荷（“emoteLoader.dll”）将通过与分发原始Emotet相同的渠道推送，卸载程序将删除与恶意软件相关的服务及其自动运行注册表项。

4月份的截止日期也意味着更新并不能完全阻止Emotet（“X.dll”）被安装到系统上。但是，由于命令和控制服务器现在已陷入困境，并处于执法部门的控制之下，该恶意软件将无法将更多模块下载到受感染的主机上。

Malwarebytes的威胁情报小组说：“启动清理程序的漫长延迟可能是因为需要给系统管理员时间进行取证分析和检查其他感染。”。

鉴于拆除行动的性质，Emotet能否卷土重来还有待观察。如果真是这样，僵尸网络将不是第一次在重大破坏行动中幸存下来。

比如写作，辱骂。ch的Feodo追踪显示，至少有20台Emotet服务器仍然在线。

“更新的网络安全工具（防病毒和操作系统）和网络安全意识的结合对于避免成为Emotet等复杂僵尸网络的受害者至关重要，”欧洲刑警组织警告说。

“用户应该仔细检查他们的电子邮件，避免打开来自未知发件人的邮件，尤其是附件。如果邮件看起来太好而不真实，则很可能是真实的，并且应该不惜一切代价避免发送带有紧迫感的邮件。”