Η ιταλική εταιρεία κυβερνοασφάλειας TG Soft κυκλοφόρησε μία νέα υπηρεσία με την ονομασία “Have I Been Emotet”, η οποία παρέχει στους χρήστες τη δυνατότητα να ελέγξουν εάν ένα domain ή μία διεύθυνση email έχει χρησιμοποιηθεί ως αποστολέας ή παραλήπτης σε spam εκστρατεία του Emotet.
Το Emotet είναι ένα malware που διαδίδεται μέσω spam emails, τα οποία περιέχουν κακόβουλα έγγραφα Word ή Excel. Όταν ένας χρήστης ανοίξει αυτά τα έγγραφα και ενεργοποιηθούν οι μακροεντολές, θα εγκατασταθεί το Emotet trojan στον υπολογιστή του.
Αφού μολύνει τον υπολογιστή του θύματος, το Emotet κλέβει το email και το μεταφέρει σε servers που βρίσκονται υπό τον έλεγχο του εισβολέα. Αυτό το email θα χρησιμοποιηθεί σε μελλοντικές spam εκστρατείες, επιτρέποντας στον κακόβουλο παράγοντα να κάνει το κακόβουλο ανεπιθύμητο περιεχόμενο να φαίνεται νόμιμο, έτσι ώστε να προσελκύσει περισσότερα θύματα.
Με την πάροδο του χρόνου, το Emotet trojan κατεβάζει και εγκαθιστά άλλα malware, όπως το TrickBot και το QakBot, στον υπολογιστή ενός θύματος. Αυτά τα trojans οδηγούν σε ransomware επιθέσεις που εκτελούνται από τους χειριστές των Ryuk, Conti και ProLock.
Η TG Soft ανέφερε στο BleepingComputer ότι η βάση δεδομένων τους αποτελείται από ελεγχόμενα εξερχόμενα email που δημιουργήθηκαν από το Emotet μεταξύ Αυγούστου και 23 Σεπτεμβρίου 2020. Κατά τη διάρκεια αυτής της περιόδου, συνέλεξαν πάνω από 2,1 εκατομμύρια διευθύνσεις email από περίπου 700.000 εξερχόμενα email.
Για να χρησιμοποιήσει κάποιος τη νέα υπηρεσία, μπορεί να εισάγει ένα domain ή μια διεύθυνση email και θα λάβει ενημέρωση σχετικά με το πόσες φορές χρησιμοποιήθηκε ως αποστολέας ή παραλήπτης σε spam εκστρατεία του Emotet.
Η υπηρεσία “Have I Be Emotet” παρέχει στους χρήστες τις ακόλουθες πληροφορίες:
- Πραγματικός αποστολέας: Υποδεικνύει ότι ο υπολογιστής που χρησιμοποιεί αυτόν τον λογαριασμό email έχει παραβιαστεί και έχει χρησιμοποιηθεί για την αποστολή spam emails.
- Ψεύτικος αποστολέας: Υποδηλώνει ότι η αλληλογραφία σας έχει κλαπεί και χρησιμοποιηθεί σε spam εκστρατείες.
- Παραλήπτης: Υποδεικνύει ότι ήσασταν παραλήπτης ενός Emotet spam email.
Εάν μια εταιρεία έχει επηρεαστεί από κυβερνοεπίθεση, μπορεί κάποιος να ελέγξει αν έχει στοχευτεί σε spam εκστρατείες του Emotet, που οδηγούν σε ransomware επίθεση. Για παράδειγμα, το Ryuk ransomware επιτέθηκε πρόσφατα στον κορυφαίο πάροχο υγειονομικής περίθαλψης Universal Health Services (UHS). Χρησιμοποιώντας αυτήν την υπηρεσία, μπορούμε να δούμε ότι το domain της UHS, uhsinc.com, χρησιμοποιήθηκε σε πρόσφατες εκστρατείες του Emotet και ότι η εταιρεία έλαβε Emotet spam εννέα φορές.
Εάν κάποιος χρησιμοποιεί αυτήν την υπηρεσία και διαπιστώσει ότι η διεύθυνση ή το domain του email του έχει χρησιμοποιηθεί ως παραλήπτης, αυτό δεν σημαίνει απαραίτητα ότι έχετε μολυνθεί. Για να μολυνθεί, ένας χρήστης θα πρέπει να ανοίξει τα συνημμένα του email και να ενεργοποιήσει τις μακροεντολές πριν από την εγκατάσταση του malware. Επιπλέον, εάν το domain ενός χρήστη έχει χρήστες που αναφέρονται ως «πραγματικός» αποστολέας, τότε είναι πιθανό ότι ένας από τους χρήστες του domain του email του έχει μολυνθεί και θα πρέπει να ερευνηθούν διεξοδικά οι υπολογιστές τους. {https://www.secnews.gr}