Angara Professional Assistance | Снова в строю

Снова в строю

После длительного периода тишины, вызванного активным вычищением С&C-серверов широко распространенного ботнета Emotet, троян вновь наступает. Уже обнаружено несколько сотен серверов, подконтрольных ботнету.

14 ноября была зафиксирована активность, связываемая с печально известным мощным трояном Emotet. Об этом заявил ИБ-исследователь Лука Эбах в своем блоге, отметив, что восстановить былую славу зловреду помогает его «собрат» – ботнет TrickBot.

TrickBot – ботнет, известный с октября 2016 года – распространяется в формате трояна. Его основной целью первоначально была кража банковских данных. Со временем TrickBot оброс вспомогательными модулями, позволяющими ему похищать конфиденциальные данные, использовать украденные учетные данные и уязвимости для распространения по локальной сети, удаленного доступа, перенаправления сетевого трафика, а также загружать другое вредоносное ПО. 

Emotet – ботнет, обнаруженный в июне 2014 года – первоначально позиционировался как банковский троян. Он постоянно подвергался модификациям, приобретая новый функционал в виде дополнительных модулей для доставки другого вредоносного ПО (QakBot, IcedId, Panda, TrickBot, Ryuk), кражи учетных данных из электронной почты, сбора почтовых адресов и другой информации из Outlook. С помощью отдельного модуля самостоятельно рассылает с зараженной машины спам с загрузчиком, который скачивает и запускает Emotet на устройстве очередной жертвы. В первой половине 2020 года Emotet занял первое место среди самых активных киберугроз в России.

Масштабная инфраструктура Emotet была ликвидирована в ходе специально подготовленной операции правоохранительных органов в январе текущего года, в результате чего зловред прекратил распространяться. Теперь же, согласно данным исследователей из группы Cryptolaemus, активно участвовавших в этой операции, у злосчастного модульного троянца появились новые управляющие серверы, хотя привычные для него спам-кампании пока не зафиксированы. Для заражения новых устройств и восстановления утерянной инфраструктуры операторы Emotet пользуются возможностями другого активного ботнета – TrickBot, который прежде, наоборот, распространялся с использованием ботсети Emotet.

Для эффективной защиты от опасного вредоносного ПО эксперты призывают блокировать сетевые соединения от обнаруженных управляющих серверов ботнетов и регулярно обновлять черный список.

«На текущий момент прослеживается популяризация проведения антифишинговых мероприятий, направленных на проработку навыков безопасного поведения пользователей в сети Интернет. Таким образом, рост подготовленной аудитории увеличивает временные затраты на подготовку эффективной фишинговой кампании кибермошенниками. И ботнет Emotet не является исключением. Однако взаимовыручка двух крупных ботнетов может значительно повлиять на скорость поглощения трояном новых устройств и восстановления утерянной инфраструктуры Emotet. Чтобы не стать частью ботсети опаснейшего трояна и уберечь свои конфиденциальные данные, мы рекомендуем пользователям применять комплексные антивирусные продукты, а компаниям – использовать ИБ-решения, которые заточены под контроль различных объектов защиты», – говорит Алексей Михайлов, инженер группы сопровождения прикладных систем Angara Professional Assistance

Для компаний, не имеющих возможности организовать в рамках своей инфраструктуры и компетенций полноценную защиту данных, в том числе от сложных таргетированных атак, существует доступный сервис, позволяющий взять под контроль безопасность критичных хостов сети. В качестве такого решения наша компания предлагает защиту от APT-атак по модели подписки, построенную на базе продуктов «Лаборатории Касперского» – KATA и KEDR – и сопровождаемую аналитикой квалифицированных специалистов Angara Professional Assistance. Данное решение позволит не только сэкономить время и финансы клиента, но и обеспечит высокий уровень защиты критичных хостов сети от разрушительных последствий инцидентов информационной безопасности.

Более подробная информация об услуге размещена в разделе «Сервисы по модели Managed Security Services (MSS)» нашего сайта (блок «Защита от APT-атак»). Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.