Arnold Schwarzenegger’in Terminatör’ü gibi, korkunç Emotet kötü amaçlı yazılımı da dünya çapındaki bilgisayarlara tekrar bulaşıyor ve kuruluşları bir kez daha müteakip fidye yazılımı saldırılarına karşı yüksek risk altına sokuyor.
Bu hafta Check Point’ten araştırmacılar, daha önce bankacılık Truva atına dönüşen kötü amaçlı yazılım indirici Trickbot ile enfekte olmuş sistemlere Emotet örneklerinin düştüğünü gözlemlediklerini bildirdiler. Yeni Emotet kötü amaçlı yazılımı 15 Kasım’da veya kolluk kuvvetlerinin altyapısını birden fazla ülkeyi kapsayan koordineli bir çabayla kaldırmasından yaklaşık 10 ay sonra ortaya çıkmaya başladı.
15 Kasım’dan bu yana Check Point’in tespit ettiği Emotet kötü amaçlı yazılım hacmi her gün artmaya devam etti ve şu anda Ocak 2021’in kaldırılmasından önceki hacmin en az %50’si. Kötü amaçlı yazılım hem Trickbot aracılığıyla hem de virüs bulaşmış sistemlerden dünya çapındaki diğer bilgisayarlara gönderilen kötü amaçlı spam iletileri aracılığıyla yayılıyor. İstenmeyen e-postalar, kullanıcıların, açıldığında bilgisayara Emotet bulaşmasına neden olan kötü amaçlı belgeler içeren parola korumalı bir zip dosyası indirmesini sağlamaya çalışır.
Sorunlu Geliştirme
Kötü amaçlı yazılımın yeniden ortaya çıkması, Ocak ayında yayından kaldırılmadan önce fidye yazılımı saldırılarına ne kadar kapsamlı bir şekilde bağlı olduğu için işletmeler için zahmetli. Emotet, e-posta adreslerini toplamak, kimlik bilgilerini çalmak, istenmeyen postaları dağıtmak, yanal hareketi etkinleştirmek, Trickbot dahil olmak üzere diğer kötü amaçlı yazılımları indirmek ve diğer kötü niyetli faaliyetler için tasarlanmıştır.
Check Point tehdit istihbarat başkanı Lotem Finkelstein, Ocak ayında çevrimdışı olmaya zorlanmadan önce operatörlerinin iş modelinin ağlara bulaşmak ve daha sonra bu ağa erişimi diğer tehdit aktörlerine, özellikle de fidye yazılımı operatörlerine satmak olduğunu söylüyor.
“[Between] 2018 ve 2020, Emotet, fidye yazılımının başarısını kolaylaştırdı ve 2021’in sonlarında geri dönüşü, 2022 için bir uyarı işaretidir” diyor Finkelstein, “Emotet enfeksiyonu, hatta bir enfeksiyon girişimi, erken dönemde en iyisi [indicator of] gelecekteki fidye yazılımı enfeksiyonları” diyor.
Kötü amaçlı yazılımın uykuda olduğu aylarda, Emotet’in yazarları özelliklerini değiştirdi ve daha yetenekli hale getirdi. Bir örnek, yeni varyantın, şifreli iletişimler için önceki sürümdeki daha zayıf RSA şifrelemesi yerine eliptik eğri şifrelemesi (ECC) kullanmasıdır. Check Point raporunda, Emotet’in yazarlarının, meşru yazılımları taklit eden kötü amaçlı Windows uygulama yükleyici paketleri biçiminde ilk enfeksiyon vektörüne yeni bir ince ayar da eklediklerini söyledi.
Check Point, Emotet’in dönüşünde alarmı çalan en son güvenlik sağlayıcısıdır. Geçen ay, derin içgüdü kötü amaçlı yazılımın yeniden ortaya çıkması hakkında rapor verdi ve bir sisteme indirme ve kaçırma için yeni hileler de dahil olmak üzere bazı güncellemelerini analiz etti.
Bu hafta, Intel 471 güncellenmiş
En son Emotet varyantının öncekinden nasıl farklı olduğunu açıklayan geçen aydan bir blog yazısı. Tehdit istihbarat firması, yeni Emotet’in birçok bölümünün Ocak ayındaki kötü amaçlı yazılımla aynı olduğunu, ancak bazılarının farklı olduğunu keşfetti. Örneğin, eski sürüm, tüm kötü amaçlı yazılım trafiğini şifrelemek için kullanılan anahtarı şifrelemek için bir RSA anahtarı kullandı. Yeni sürüm ECC kullanır.
Intel 471, ayrıca Emotet’in yazarlarının iletişim protokolünde bazı değişiklikler yaptığını, yeni bir süreç kontrol modülünü tanıttığını ve gizleme mekanizmalarında bazı değişiklikler yaptığını söyledi. Şirket, yeni Emotet’in şu anda Epoch4 ve Epoch5 olarak izlenen iki farklı botnet aracılığıyla dağıtıldığını keşfetti.
O esnada, kriptolemusEmotet tehdidini izleyen bağımsız bir güvenlik araştırmacısı grubu olan , kötü amaçlı yazılımın şu anda virüslü sistemlere istismar sonrası Kobalt Saldırı İşaretleri bırakmak için kullanıldığını gözlemlediklerini söyledi.
Muhtemelen Yeni Varyantın Arkasında Aynı Tehdit Aktörü
Finkelstein, en son varyantın arkasında yeni bir oyuncunun olduğunu gösteren hiçbir şey olmadığını söylüyor. “Aynı aktör olduğuna inanıyoruz; en azından eski Emotet’in arkasındaki bazı suçlu beyinler de yeni Emotet ile ilgileniyor” diye belirtiyor. “Yenilenen Emotet’ten kim sorumluysa, eski versiyonun kusurları hakkında çok şey biliyor ve onu geliştirmek için harekete geçiyor.”
Yeniden yüzey oluşturmada Emotet, bazı siber operatörlerin en uyumlu yayından kaldırma çabalarına karşı gösterdiği dayanıklılığın en son örneği oldu. Ocak ayında yayından kaldırıldığı sırada, Emotet botnet, kötü amaçlı yazılım ve spam dağıtımı ve veri toplama dahil olmak üzere çeşitli kötü amaçlı amaçlar için kullanılan yaklaşık 1,6 milyon sistemden oluşuyordu. Enfekte olmuş ev sahiplerinin yaklaşık 45.000’i ABD’deydi. Botnet’i yönetmek için komuta ve kontrol altyapısı, dünyanın dört bir yanına dağılmış yüzlerce sunucuyu içeriyordu.
Kaldırma operasyonunun bir parçası olarak, ABD, Kanada, Birleşik Krallık, Hollanda, Fransa ve diğer ülkelerdeki kanun uygulayıcı kurumlar, kendi yetki alanlarında Emotet sunucularının kontrolünü ele geçirdi. Ardından, kötü amaçlı yazılım operatörlerinin virüslü sistemleri kontrol etme yeteneğini etkisiz hale getiren bir yazılım kurdular. Bazı durumlarda, kolluk kuvvetleri, virüslü sistemlerden Emotet’ten kurtulmak için yazılım dağıttı.
Kötü amaçlı yazılımın geri döndüğü gerçeği, ABD makamlarının şimdiden birkaç yüz milyonlarca dolarlık zarara yol açtığını tahmin ettiği Emotet operasyonunun küreselleşmiş doğasına işaret ediyor.
“Dağıtılmış küresel bir organizasyon oldukları için mükemmel [synchronization]Finkelstein, operasyonun tamamen durdurulması gerektiğini söylüyor. Ayrıca operasyonun arkasındaki beyinleri yakalama ihtiyacının da anahtar olduğunu söylüyor.
Emotet’in yeniden ortaya çıkması, operatörlerinin Trickbot’un arkasındaki aktörlerle olan işbirliğinin başarısının da bir kanıtıdır – 2016’da bankacılık Truva atı olarak başlayan ancak şimdi yaygın olarak kötü amaçlı yazılım dağıtmak için kullanılan oldukça modüler bir kötü amaçlı yazılım ailesi. Kolluk kuvvetleri Ekim 2020’de büyük bir girişimde Trickbot operasyonunu bozmaya çalıştı, ancak daha önce olduğu gibi çalışmaya devam ediyor. Check Point, Trickbot’un bu yıl Mayıs, Haziran ve Ekim aylarında en yaygın kötü amaçlı yazılım olduğunu ve kötü amaçlı yazılımın son 11 ayda dünya çapında 140.000’den fazla sisteme bulaştığını tespit etti.
Emotet operatörlerinde olduğu gibi, Trickbot’un arkasındaki tehdit aktörü de Ruyk ve Conti dahil olmak üzere çeşitli fidye yazılımı kampanyalarıyla ilişkilendirildi. 2020’de Trickbot, Emotet ile birlikte büyük hasara neden olan bir kampanyada Ryuk fidye yazılımını teslim etmek için kullanıldı.
Finkelstein, “Emotet ve Trickbot her zaman birlikte çalışıyorlardı” diyor. “Birbirlerine kapıyı açtılar ve temelde işbirliklerinden bir iş çıkardılar.” Bu nedenle, Trickbot’un bir Emotet canlandırmasını kolaylaştırmasının sürpriz olmadığını da ekliyor.