Emotet

Emotet és un programari maliciós (malware) i una operació de delictes informàtics basada aparentment a Ucraïna. El malware, també conegut com a Heodo, fou detectat per primer cop el 2014 i considerat com una de les amenaces més importants de la dècada. El 2021, els servidors utilitzats per Emotet van ser controlats per una acció conjunta de la policia d'Alemanya i Ucraïna i portats sota control judicial.^[1]^[2]^[3]^[4]

Les primeres versions d'Emotet funcionaven com un troià dirigit a robar credencials bancàries a partir de servidors infectats. Durant 2016 i 2017, operadors Emotet, coneguts també amb el nom de Mealybug, van actualitzar el troià tot reconfigurant-lo per a treballar principalment com a "carregador" (loader), un tipus de programari que obté accés a un sistema i permet els seus operadors fer altres descarregues (payloads) addicionals.^[5] Les descarregues segones poden ser qualsevol tipus de codi executable, mòduls propis d'Emotet o malware desenvolupat per altres "cyberbandes".

La infecció inicial dels sistemes sovint procedia a través d'un macro virus com a fitxer adjunt d'un correu electrònic. El correu electrònic infectat és una resposta, a un missatge anterior enviat per la víctima, que sembla legítima.^[6]

Els autors d'Emotet han utilitzat el malware per a crear un botnet d'ordinadors infectats als quals venien accés en un model d'Infraestructure-as-a-service (IaaS), conegut a comunitat de cyberseguretat com a MaaS (Malware-as-a-Service), Cybercrime-as-a-Service (CaaS), o Crimeware.^[7] Emotet s'empra per a llogar accés a ordinadors infectats en operacions de ransomware, com els de la banda Ryuk.^[8]

El setembre de 2019, Emotet operava sobre tres botnets separats anomenats Epoch 1, Epoch 2, i Epoch 3.^[9]

El juliol de 2020, les operacions d'Emotet van ser detectades globalment, infectant les seves víctimes amb TrickBot i Qbot, els quals roben credencials bancàries i s'estenen dins les xarxes. Algunes de les campanyes d'spam contenien documents maliciosos amb noms com "forma.doc" O "factura.doc". Segons investigadors de seguretat, els documents maliciosos llançaven un script de Windows PowerShell per a procedir amb les carregues de fitxers de pàgines web malicioses i d'altres màquines infectades.^[10]

El novembre de 2020, Emotet va utilitzar dominis aparcats per a distribuir càrregues.^[11]

El gener de 2021, l'acció internacional coordinada d'Europol i Eurojust va permetre a la policia el control de la infraestructura Emotet.^[12] L'acció va ser acompanyada amb diverses detencions a Ucraïna.^[13]

Infeccions destacables[modifica]

Allentown, Pennsilvània, Estats Units (2018)^[14]^[15]
Heise Online, editorial basada a Hannover, Alemanya (2019)^[6]
Kammergericht Berlín, alt tribunal de l'estat de Berlín, Alemanya (2019)^[16]^[17]
Universitat Humboldt de Berlín, Alemanya (2019)^[18]
Universität Gießen, Alemanya (2019)^[19]
Departament de Justicia de Quebec (2020)^[20]
Govern de Lituania (2020)^[21]

Referències[modifica]

↑ , 28-08-2020.
↑ «Emotet's Malpedia entry». Malpedia, 03-01-2020.
↑ Ilascu, Ionut. «Emotet Reigns in Sandbox's Top Malware Threats of 2019». Bleeping Computer, 24-12-2019.
↑ European Union Agency for Criminal Justice Cooperation. «World’s most dangerous malware EMOTET disrupted through global action». Eurojust, 27-01-2021.
↑ Christiaan Beek. «Emotet Downloader Trojan Returns in Force». McAfee.
↑ ^6,0 ^6,1 Schmidt, Jürgen. «Trojaner-Befall: Emotet bei Heise» (en alemany). Heise Online, 06-06-2019. [Consulta: 10 novembre 2019].
↑ Brandt, Andrew. «Emotet's Central Position in the Malware Ecosystem». Sophos, 02-12-2019. [Consulta: 19 setembre 2019].
↑ «North Korean APT(?) and recent Ryuk Ransomware attacks». Kryptos Logic.
↑ Cimpanu, Catalin. «Emotet, today's most dangerous botnet, comes back to life». ZDnet, 16-09-2019. [Consulta: 19 setembre 2019].
↑ «juliol 2020's Most Wanted Malware: Emotet Strikes Again After Five-Month Absence».
↑ «Emotet uses parked domains to distribute payloads» (en anglès americà). How To Fix Guide, 30-10-2020. [Consulta: 27 gener 2021].
↑ «World’s most dangerous malware EMOTET disrupted through global action» (en anglès). Europol. [Consulta: 27 gener 2021].
↑ Cimpanu, Catalin, Authorities plan to mass-uninstall Emotet from infected hosts on March 25, 2021, zdnet, January 27, 2021
↑ «Malware infection poised to cost $1 million to Allentown, Pa.». washingtontimes.com. The Washington Times. [Consulta: 12 novembre 2019].
↑ «Emotet malware gang is mass-harvesting millions of emails in mysterious campaign». zdnet.com. ZDNet. [Consulta: 12 novembre 2019].
↑ «Emotet: Trojaner-Angriff auf Berliner Kammergericht» (en alemany). spiegel.de. Der Spiegel. [Consulta: 12 novembre 2019].
↑ «Emotet: Wie ein Trojaner das höchste Gericht Berlins lahmlegte» (en alemany). faz.net. Frankfurter Allgemeine Zeitung. [Consulta: 12 novembre 2019].
↑ «Trojaner greift Netzwerk von Humboldt-Universität an» (en alemany). dpa. Heise Online, 09-11-2019. [Consulta: 10 novembre 2019].
↑ «Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten» (en alemany). Heise Online, 19-12-2019. [Consulta: 22 desembre 2019].
↑ Joncas, Hugo. «Les pirates informatiques ont pu voler tous les courriels». Le Journal de Montréal. [Consulta: 27 gener 2021].
↑ «Several institutions affected by email virus in Lithuania – center». www.baltictimes.com. [Consulta: 27 gener 2021].

[1] , 28-08-2020.

[2] «Emotet's Malpedia entry». Malpedia, 03-01-2020.

[3] Ilascu, Ionut. «Emotet Reigns in Sandbox's Top Malware Threats of 2019». Bleeping Computer, 24-12-2019.

[eurojust-4] European Union Agency for Criminal Justice Cooperation. «World’s most dangerous malware EMOTET disrupted through global action». Eurojust, 27-01-2021.

[5] Christiaan Beek. «Emotet Downloader Trojan Returns in Force». McAfee.

[:0-6] 6,0 ^6,1 Schmidt, Jürgen. «Trojaner-Befall: Emotet bei Heise» (en alemany). Heise Online, 06-06-2019. [Consulta: 10 novembre 2019].

[7] Brandt, Andrew. «Emotet's Central Position in the Malware Ecosystem». Sophos, 02-12-2019. [Consulta: 19 setembre 2019].

[8] «North Korean APT(?) and recent Ryuk Ransomware attacks». Kryptos Logic.

[9] Cimpanu, Catalin. «Emotet, today's most dangerous botnet, comes back to life». ZDnet, 16-09-2019. [Consulta: 19 setembre 2019].

[10] «juliol 2020's Most Wanted Malware: Emotet Strikes Again After Five-Month Absence».

[11] «Emotet uses parked domains to distribute payloads» (en anglès americà). How To Fix Guide, 30-10-2020. [Consulta: 27 gener 2021].

[12] «World’s most dangerous malware EMOTET disrupted through global action» (en anglès). Europol. [Consulta: 27 gener 2021].

[13] Cimpanu, Catalin, Authorities plan to mass-uninstall Emotet from infected hosts on March 25, 2021, zdnet, January 27, 2021

[14] «Malware infection poised to cost $1 million to Allentown, Pa.». washingtontimes.com. The Washington Times. [Consulta: 12 novembre 2019].

[15] «Emotet malware gang is mass-harvesting millions of emails in mysterious campaign». zdnet.com. ZDNet. [Consulta: 12 novembre 2019].

[16] «Emotet: Trojaner-Angriff auf Berliner Kammergericht» (en alemany). spiegel.de. Der Spiegel. [Consulta: 12 novembre 2019].

[17] «Emotet: Wie ein Trojaner das höchste Gericht Berlins lahmlegte» (en alemany). faz.net. Frankfurter Allgemeine Zeitung. [Consulta: 12 novembre 2019].

[18] «Trojaner greift Netzwerk von Humboldt-Universität an» (en alemany). dpa. Heise Online, 09-11-2019. [Consulta: 10 novembre 2019].

[19] «Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten» (en alemany). Heise Online, 19-12-2019. [Consulta: 22 desembre 2019].

[20] Joncas, Hugo. «Les pirates informatiques ont pu voler tous les courriels». Le Journal de Montréal. [Consulta: 27 gener 2021].

[21] «Several institutions affected by email virus in Lithuania – center». www.baltictimes.com. [Consulta: 27 gener 2021].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]