Phần mềm độc hại nguy hiểm Emotet đã bị phá vỡ

11:19 | 08/02/2021

Các cơ quan thực thi pháp luật từ 8 quốc gia đã phá vỡ cơ sở hạ tầng của Emote - một phần mềm độc hại trên Windows phát tán qua email. Phần mềm này đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua.

Hoạt động này được các nhà chức trách đặt tên là "Chiến dịch Ladybird". Đây là kết quả của nỗ lực giữa các cơ quan chức năng ở Hà Lan, Đức, Mỹ, Anh, Pháp, Lithuania, Canada và Ukraine nhằm kiểm soát các máy chủ được sử dụng để chạy và duy trì phần mềm độc hại mạng.

Cơ sở hạ tầng Emotet về cơ bản hoạt động như một công cụ mở cửa chính cho các hệ thống máy tính trên quy mô toàn cầu. Điều khiến Emotet trở nên nguy hiểm là phần mềm độc hại này đã được các tội phạm mạng thuê để cài đặt các loại phần mềm độc hại khác, chẳng hạn như Trojan ngân hàng hoặc ransomware vào máy tính của nạn nhân.

Không chỉ là một phần mềm độc hại

Kể từ lần phát hiện vào năm 2014, Emotet đã phát triển từ nguồn gốc ban đầu là một phần mềm đánh cắp thông tin xác thực và Trojan ngân hàng. Thời điểm đó, mã độc này hoạt động như một trình tải xuống, cắp thông tin và spambot tùy thuộc vào cách nó được triển khai.

Emotet liên tục được phát triển, dịch vụ tội phạm mạng thường xuyên tự cập nhật để cải thiện và bổ sung khả năng gián điệp mới thông qu các mô-đun, bao gồm cả bộ phát tán Wi-Fi để xác định và xâm nhập vào các nạn nhân mới kết nối với mạng Wi-Fi lân cận.

Năm 2020, phần mềm độc hại này đã được liên kết với một số chiến dịch thư rác do botnet điều khiển và thậm chí có khả năng cung cấp các payload nguy hiểm hơn như TrickBot và Ryuk ransomware, bằng cách cho các nhóm phần mềm độc hại khác thuê mạng botnet của các máy bị xâm nhập.

700 máy chủ Emotet bị thu giữ

Cơ quan Tội phạm Quốc gia của Anh (NCA) cho biết, họ mất gần hai năm để lập bản đồ cơ sở hạ tầng của Emotet. Một cuộc đột kích diễn ra ở thành phố Kharkiv của Ukraina tịch thu nhiều thiết bị máy tính được tin tặc sử dụng.

Cục chính quyền mạng Ukraina đã bắt giữ hai cá nhân bị cáo buộc tham gia vào việc bảo trì cơ sở hạ tầng của botnet, cả hai người này đang phải đối mặt với 12 năm tù nếu bị kết tội.

NCA cho biết, "Phân tích các tài khoản được sử dụng bởi những kẻ đứng sau Emotet cho thấy: 10,5 triệu đô la đã được chuyển trong khoảng thời gian 2 năm trên một nền tảng tiền ảo, gần 500.000 đô la đã được nhóm chi tiêu trong cùng thời gian để duy trì cơ sở hạ tầng phạm tội".

Theo chính quyền Ukraine các thiệt hại liên quan đến Emotet trên toàn cầu ước tính khoảng 2,5 tỷ USD. 

Ít nhất 700 máy chủ do Emotet vận hành trên toàn thế giới hiện đã bị gỡ xuống, các máy bị nhiễm phần mềm độc hại sẽ được chuyển hướng đến cơ sở hạ tầng thực thi pháp luật để ngăn chặn việc khai thác thêm.

Ngoài ra, Cảnh sát Quốc gia Hà Lan đã phát hành 1 công cụ để kiểm tra khả năng xâm phạm dựa trên tập dữ liệu chứa 600.000 địa chỉ e-mail, tên người dùng và mật khẩu đã được xác định trong quá trình hoạt động.

Emotet sẽ bị xoá bỏ hàng loạt vào ngày 25/4/2021

Cảnh sát Hà Lan đã thu giữ 2 máy chủ trung tâm đặt tại nước này và cho biết họ đã triển khai một bản cập nhật phần mềm để vô hiệu hóa mối đe dọa do Emotet gây ra.

Cơ quan này cho biết: “Tất cả các hệ thống máy tính bị nhiễm sẽ tự động truy xuất bản cập nhật này, sự lây nhiễm Emotet sẽ được ngăn chặn. Dự kiến, Emotet ​​sẽ bị gỡ bỏ lúc 12:00 giờ địa phương ngày 25/4/2021 khỏi tất cả các máy bị xâm nhập.”

Europol cảnh báo: “Sự kết hợp của cả các công cụ an ninh mạng được cập nhật liên tục và nhận thức về an ninh mạng là điều cần thiết để tránh trở thành nạn nhân của các mạng botnet tinh vi như Emotet. Người dùng nên kiểm tra cẩn thận e-mail của mình và tránh mở các tin nhắn, file đính kèm từ những người gửi không xác định".