Quá trình phát triển diễn ra sau khi xảy ra sự cố gián đoạn phối hợp của Emotet, như một phần của Chiến dịch Ladybird nhằm chiếm quyền kiểm soát các máy chủ được sử dụng để chạy và duy trì mạng phần mềm độc hại. Ít nhất 700 máy chủ liên kết với cơ sở hạ tầng của mạng botnet bị vô hiệu hóa từ bên trong, do đó ngăn chặn việc khai thác thêm.
Các cơ quan thực thi pháp luật của Hà Lan, Đức, Mỹ, Anh, Pháp, Lithuania, Canada và Ukraine đã tham gia vào hành động quốc tế.
Trước đó, cảnh sát Hà Lan, nơi đã thu giữ hai máy chủ trung tâm đặt tại nước này cho biết, họ đã triển khai một bản cập nhật phần mềm để chống lại mối đe dọa do Emotet gây ra một cách hiệu quả. “Tất cả các hệ thống máy tính bị nhiễm sẽ tự động truy xuất bản cập nhật và sau đó sự lây nhiễm Emotet sẽ được cách ly", cơ quan này chia sẻ hồi tháng 1/2021.
Điều này liên quan đến việc đẩy tải trọng 32 bit có tên “EmotetLoader.dll” qua cùng các kênh được sử dụng để phân phối Emotet gốc cho tất cả các máy bị xâm phạm. Quy trình dọn dẹp đã được thiết lập để tự động kích hoạt vào ngày 25/4/2021, hoạt động bằng cách xóa phần mềm độc hại khỏi thiết bị, ngoài việc xóa Đăng ký tự động chạy và chấm dứt quy trình.
Hôm 09/5/2021, công ty an ninh mạng Malwarebytes xác nhận, máy tính bị nhiễm Emotet của họ nhận được mã bom hẹn giờ được chế tạo đặc biệt đã gỡ cài đặt và tự xóa nó khỏi hệ thống Windows thành công.
Tuy nhiên, các chuyên gia cảnh báo vẫn còn phải xem liệu biện pháp này đối với botnet có khiến nó vĩnh viễn không thể hoạt động được, hay nó vẫn có thể hoạt động trở lại trong tương lai, mở đường cho các tác nhân tội phạm mạng khác lấp đầy khoảng trống.
Các chuyên gia cũng lưu ý rằng, trước đây, các nhà điều hành của Emotet đã sử dụng thời gian nghỉ dài trong hoạt động để cải thiện phần mềm độc hại của họ. Điều này có nghĩa là có khả năng thực tế các nhà điều hành của Emotet sẽ sử dụng cơ hội này để làm cho phần mềm độc hại của trình tải trở nên linh hoạt hơn, ví dụ, bằng cách sử dụng các kỹ thuật đa hình để chống lại hành động phối hợp trong tương lai. Họ cũng có thể sử dụng mã nguồn Emotet để phân nhánh và tạo mạng botnet nhỏ hơn và hoạt động độc lập.
Những biện pháp hành động hàng loạt này đã đánh dấu lần thứ hai các cơ quan thực thi pháp luật can thiệp để loại bỏ phần mềm độc hại ra khỏi các máy tính bị xâm nhập.
Đầu tháng 5/2021, chính phủ Hoa Kỳ đã thực hiện các bước để loại bỏ các cửa hậu vỏ web do tác nhân đe dọa Hafnium đánh rơi khỏi các máy chủ Microsoft Exchange đặt tại quốc gia đã bị vi phạm bằng cách sử dụng ProxyLogon.
Sau hoạt động tòa án cho phép, Cục Điều tra Liên bang cho biết họ đang trong quá trình thông báo cho tất cả các tổ chức gỡ bỏ web shell, với ngụ ý rằng cơ quan tình báo đã truy cập vào hệ thống mà họ không hề hay biết.
Nguồn: https://thehackernews.com/2021/04/emotet-malware-destroys-itself-today.html