据欧洲刑警组织所称,Emotet是一种“世界上最危险的恶意软件”,而且根据卡巴斯基的遥测数据,年3月,该恶意软件在全球范围内增长超过%。这种增长表明,僵尸网络背后的威胁行为者自年11月卷土重来以来,一直在采取措施大力增加其恶意活动。这些发现是卡巴斯基最新的有关Emotet模块和最新活动分析研究的一部分。
Emotet既是一种僵尸网络,即一个由受感染设备组成的受控制网络,用于攻击其他设备,同时也是一种恶意软件,能够从受感染设备上窃取不同类型的数据,通常是与金融有关的数据。该恶意软件是由经验丰富的威胁行为者操作,已成为网络犯罪世界中最大的参与者之一。早在年1月,在来自不同国家的多个执法机构的共同努力下,Emotet被关闭了。但是,年11月,该僵尸网络又卷土重来,并且自那以后一直在逐渐增加其活动。它最初是通过另一个被成为Trickbot的僵尸网络传播的,现在则是通过恶意垃圾邮件活动的方式自己进行传播。
卡巴斯基的遥测数据显示,该恶意软件的受害者数量从年2月份的2,人增加到3月份9,人,增长了超过三倍。卡巴斯基解决方案检测到的攻击数量也相应增加——从年2月的16,次增长到3月的48,次。
侦测到的Emotet攻击数量的动态变化,年11月—年3月
典型的Emotet感染始于垃圾邮件,其中包含带有恶意宏的MicrosoftOffice附件。使用这个宏,威胁行为者可以启用一个恶意的PowerShell命令,释放和启动一个模块加载程序,这个加载程序能够与命令和控制服务器进行通信,下载和启动模块。这些模块可以再受感染设备上执行各种不同的任务。卡巴斯基研究人员想办法获取和分析了16个模块中的10个,其中大多数模块过去曾被Emotet以某种形式使用过。
当前版本的Emotet可以创建自动垃圾邮件活动,从受感染的设备进一步传播到网络中,从Thunderbird和Outlook应用程序中窃取电子邮件和邮件地址,并从常用的浏览器如InternetExplorer、MozillaFirefox、GoogleChrome、Safari和Opera中收集密码,进一步收集各种电子邮件客户端的账户详细信息。
“Emotet是一个高度先进的僵尸网络,它困扰着世界各地的许多组织。过去一年多,通过瓦解其网络,将其从顶级威胁名单中剔除,是在全球范围内减少威胁的重要一步。尽管目前的攻击数量不能与Emotet以前的运营规模相提并论,但动态的变化表明该僵尸网络的操作者变得明显活跃了,这种威胁很可能在未来几个月内进一步蔓延,”卡巴斯基安全研究员AlexeyShulmin评论说。
为了帮助企业远离Emotet和类似僵尸网络,专家建议企业和组织尽快采取以下措施:
了解最新的动向。查看有关Emotet的进一步发展。有几种方法可以实现,例如访问卡巴斯基的资源中心或进行自己的研究。
不要下载垃圾邮件中的可疑附件,也不要点击可疑链接。如果你不能确认收到的邮件是否是真的,请避免风险并联系发件人。如果下载的文件邀请你允许运行宏,再任何情况下都不要这样做,并立即删除文件。这样做,你就不会给Emotet机会入侵你的计算机。
在使用在线银行时,请使用多因素认证解决方案。
一定要安装一款全面的反病*和反恶意软件解决方案,例如卡巴斯基安全软件,并使用这些解决方案定期扫描您的计算机以查找漏洞。这样做可帮助您更好地抵御最新的病*和间谍软件等。
确保您使用的软件及时进行更新——这包括您使用的操作系统和所有应用软件,(攻击者利用广泛使用的程序中的漏洞来入侵系统)。
为员工定期进行网络安全意识培训,让他们了解最佳实践,例如不要点击或打开来自不受信任来源的链接或附件。作为后续,进行模拟网络钓鱼攻击,以确保他们知道如何区分网络钓鱼电子邮件。
关于卡巴斯基
卡巴斯基是一家成立于年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、*府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球,家企业客户保护最重要的东西。
