经过涉及多个国家的国际警务工作,庞大的Emotet僵尸网络已脱机。在过去的几年中,Emotet一直是全球恶意软件和垃圾邮件最多产的发行商之一,它的下架对全球的恶意软件,勒索软件和垃圾邮件分销商造成了重大打击。
Emotet僵尸网络关闭
2021年1月27日,欧洲刑警组织发布了一条推文,宣布Emotet僵尸网络已关闭。
再见僵尸网络 全球范围内的巨大运营吞没了全球最危险的恶意软件。
研究人员已控制了Emotet僵尸网络,这是野外最灵活的恶意软件。
获取完整的故事: https: //t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
— Europol(@Europol) 2021年1月27日
涉及荷兰,德国,美国,英国,法国,立陶宛,加拿大和乌克兰的当局进行了大规模的全球治安努力,最终调查人员控制了该僵尸网络。
调查人员和安全研究人员控制了遍布全球90多个国家的Emotet指挥和控制基础设施,其中至少有2人在乌克兰被捕。乌克兰当局还发布了一段视频,显示人员劫持了计算机硬件,现金和成排的金条。
欧洲刑警组织的官方声明如下:
EMOTET基础结构实质上充当了全球计算机系统的主要开门器。一旦建立了这种未经授权的访问权限,这些设备就会出售给其他高层犯罪集团,以部署进一步的非法活动,例如通过勒索软件进行数据盗窃和勒索。
拆除Emotet涉及破坏数百台服务器,其中许多服务器具有不同的功能。对于像Emotet这样的大型僵尸网络,唯一破坏和破坏网络的方法是同时拆除尽可能多的设备,并对从事犯罪活动的企业进行物理逮捕。
像EMOTET这样的许多僵尸网络本质上都是多态的。这意味着恶意软件每次被调用时都会更改其代码。由于许多防病毒程序都会在计算机上扫描已知的恶意软件代码,因此更改代码可能会导致检测困难,从而使感染最初未被发现。
Emotet僵尸网络永远消失了吗?
在先前的僵尸网络删除期间,协调一致的努力遭受了重大打击,但并没有完全杀死野兽。
例如,当当局和安全研究人员关闭了Trickbot僵尸网络时,僵尸网络所有者便能够进行重建。不仅如此,他们还能够从使僵尸网络容易受到第一次攻击的漏洞中吸取教训,从而增强了第二个版本。
对于Emotet,当局相信已经掌握了足够的命令和控制基础结构,因此很难重新创建僵尸网络,尽管并非不可能。
还有另一个威胁。尽管Emotet处于脱机状态,但通过网络传播的威胁仍处于活动状态。
组织尽快执行清理非常重要。尽管Emotet本身无法操作,但它之前加载的其他威胁(例如TrickBot和QakBot)仍然处于活动状态。这些感染通常会导致Ryuk和Egregor等勒索软件。
— MalwareTech(@MalwareTechBlog) 2021年1月27日
安全研究员Marcus Hutchins建议组织和个人“尽快执行清理”,因为来自Ryuk和Egregor勒索软件等其他恶意软件的威胁仍然活跃。
随着Emotet的撤下,Europol及其合作伙伴将重大的全球安全威胁下线。