A Check Point mostra como o Emotet impactou as redes das organizações globais ao longo de 2020, e comenta sobre a ação colaborativa e bem coordenada realizada por autoridades policiais de oito países (Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia) e a Europol, que se uniram para derrubar a infraestrutura globalmente distribuída que o Emotet cultivou ao longo dos anos.
O Emotet , que já foi um cavalo de Troia bancário e se tornou um botnet completo, foi, de longe, o malware mais bem-sucedido e predominante de 2020. Dados da ThreatCloud da divisão Check Point Research (CPR) mostram que, ao longo do ano passado, o Emotet impactou as redes de 19% das organizações globalmente. O mais recente Índice de Ameaças Globais da Check Point revelou até mesmo que o Emotet havia retornado ao primeiro lugar na lista de top malware com maior impacto em dezembro passado, afetando 7% das organizações globalmente naquele mês, após uma campanha de spam, que teve como alvo mais de 100 mil usuários por dia durante o período de festas de final de ano.
Este botnet ganhou sua reputação não apenas por sua natureza dinâmica e recursos técnicos exclusivos, mas também por causa do modelo de negócios do crime altamente organizado que desenvolveu. Em vez de agirem sozinhos, os cibercriminosos por trás do Emotet escolheram colaborar com outros grupos de cibercrime organizado, como os de ransomware Trickbot e Ryuk , e juntos se tornaram parceiros muito eficazes nos ataques. Essa tem sido a infraestrutura por trás do sucesso contínuo dos ataques de ransomware nos últimos anos.
Em novembro do ano passado, a Check Point Research descobriu que Trickbot e Emotet lançaram as bases para ataques de ransomware contra hospitais e instituições de saúde em todo o mundo, gerando um aumento nos ataques globais de ransomware.
Em 2020, o botnet Emotet atraiu vítimas por meio de e-mails de phishing, distribuiu e-mails com mais de 150 mil linhas de assuntos diferentes e mais de 100 mil nomes de arquivos diferentes. Ele foi ajustado constantemente nos e-mails de phishing aos interesses das vítimas e eventos globais (por exemplo, a pandemia da COVID-19 ou grandes temporadas de compras, como a Black Friday).
Emotet em Números
A atividade do Emotet atingiu o pico em 2020, de agosto a outubro, com uma média de 47 mil tentativas de infecção detectadas a cada mês. Em novembro, esse número caiu para menos de 700 depois que o grupo por trás do Emotet fez uma pequena pausa nos ataques. Nos últimos dois meses, o Emotet esteve ativo com cerca de 10 mil tentativas por mês, o que é quase 80% menor que a quantidade verificada anteriormente.
Paralelamente, os pesquisadores da Check Point também viram uma redução de mais de 40% na nova comunicação do Emotet C&C nos últimos dois meses em relação ao período de pico.
“O Emotet conquistou sua reputação não apenas por sua natureza dinâmica e características técnicas exclusivas, mas também por causa do modelo de negócios do crime altamente organizado que o desenvolveu, ‘colaborando’ com outros grupos de cibercrime organizado, como Trickbot e Ryuk”, afirma Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point Software Technologies. “Nessa coalizão viciosa, o Emotet foi responsável por obter o primeiro ponto de apoio em organizações do mundo todo, sendo que essa grande base de infecções foi, então, vendida para o Trickbot, que foi responsável por ampliar a base em redes direcionadas, dissecando-as em setores e empresas e, por sua vez, vendendo essas redes infectadas para atacantes de ransomware como Ryuk. Essa tem sido a infraestrutura por trás do sucesso contínuo dos ataques de ransomware nos últimos anos”, explica Finkelsteen.
No anúncio da Europol, vale a pena lembrar que o Emotet impactou uma em cada cinco organizações em todo o mundo. Ações como esta refletem a importância das forças-tarefa cibernéticas globais e dos interesses conjuntos para proteger pessoas e organizações de ciberameaças que causaram perdas de milhões de dólares ou mais e interromperam os negócios no mundo.
Orientações para manter as organizações seguras:
• O Intrusion Prevention System (IPS) evita tentativas de explorar pontos fracos em sistemas ou aplicativos vulneráveis, protegendo a empresa na corrida para explorar a última ameaça.
• A correção é essencial, embora seja uma medida de segurança incompleta, que pode deixar a rede aberta a ataques. Ao adotar uma abordagem mais abrangente, que combina funcionalidade IPS robusta com uma estratégia de patches combinada, os administradores de rede podem se equipar melhor para lidar com “Patch Tuesdays” e proteger a rede entre atualizações e patches.
• Proteções de endpoint: o antivírus baseado em assinatura convencional é uma solução altamente eficiente para evitar ataques conhecidos e deve definitivamente ser implementado em qualquer organização, pois protege contra a maioria dos ataques de malware que uma organização enfrenta. Além disso, a proteção abrangente de endpoint no mais alto nível de segurança é crucial para evitar violações de segurança e comprometimento de dados
