Operação organizada a nível global derruba botnet do Emotet.

O dia 27 de janeiro de 2021 foi um dia histórico no que toca a takedowns de malware. Por um lado, o website da darkweb do serviço ransomware-as-a-service (RaaS) do ransomware Netwalker foi apreendido pelas autoridades, o que levou a uma desativação global deste mediático ransomware.

Website do mediático ransomware Netwalker foi apreendido pelas autoridades na darkweb

 

Do outro lado do mundo, numa operação conjunta entre várias autoridades de diferentes países levou ao takedown global de uma das maiores botnets da história, Emotet.

 

A infraestrutura da botnet mais perigosa da atualidade, construída por cibercriminosos usando o malware Emotet, foi retirada do ar após uma ação coordenada internacionalmente pela Europol e pela Eurojust.

O esforço conjunto entre várias autoridades da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia permitiu que os investigadores assumissem o controlo dos servidores da botnet e interrompessem a operação do malware à escala mundial.

Após um esforço global, as autoridades retiraram do ar toda a infraestrutura da botnet, depois de ganharem o controlo dos servidores centrais da rede no início desta semana.

“The infrastructure that was used by EMOTET involved several hundreds of servers located across the world, all of these having different functionalities in order to manage the computers of the infected victims, to spread to new ones, to serve other criminal groups, and to ultimately make the network more resilient against takedown attempts,” Europol explained.

“The infected machines of victims have been redirected towards this law enforcement-controlled infrastructure. This is a unique and new approach to effectively disrupt the activities of the facilitators of cybercrime.”

(source)

 

Todo o processo foi extremamente pensado e delineado entre as entidades intervenientes, incluindo o desmantelamento da botnet até ao apreendimento de material.

De acordo com o vídeo apresentado abaixo, aos autoridades têm agora do seu lado computadores, discos rígidos, USB drives, servidores e o próprio “coração” da botnet, o que irá permitir a desinfeção dos computadores infetados já no dia 25 de março de 2021 às 12 horas.

 

Seguem algumas imagens da operação efetuada pelas autoridades abaixo:

 

Também como parte desta campanha, foi disponibilizado um serviço que permite aos utilizadores verificarem se os seus emails foram comprometidos pelo Emotet.

URL: https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html

 

Este portal  permite validar através de uma base de dados de endereços de e-mail, nomes de utilizador e palavras-passe roubadas pelo Emotet e encontrados no início desta semana pela Polícia Nacional Holandesa durante a investigação criminal que levou à interrupção da botnet.

Por outro lado, o Departamento de Ciberpolícia da ucraniana também prendeu dois indivíduos suspeitos de estarem envolvidos na manutenção da infraestrutura da rede maliciisa e que enfrentarão 12 anos de prisão se forem considerados culpados.

URL: https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-transnaczionalne-ugrupovannya-xakeriv-u-rozpovsyudzhenni-najnebezpechnishogo-v-sviti-komp-yuternogo-virusu-EMOTET/

 

 

Emotet irá desinfetar computadores a 25 de março de 2021

Depois de infetar as vítimas, o Emotet distribui vários módulos para que estágios posteriores de infeção possam realizam diferentes atividades maliciosas, como o deploy de ransomware.

Após o anúncio do takedown do Emotet, o investigador Milkream descobriu que o Emotet havia começado a instalar um novo módulo nos dispositivos comprometidos pela botnet.

Este módulo irá desinstalar o malware Emotet dos dispositivos infetados em 25 de março de 2021, às 12:00.

De acordo com milkream, o Emotet agora está a utilizador os seguintes C2, todos localizados na Alemanha.

80.158.3[.]161:443
80.158.51[.]209:8080
80.158.35[.]51:80
80.158.63[.]78:443
80.158.53[.]167:80
80.158.62[.]194:443
80.158.59[.]174:8080
80.158.43[.]136:80

A policia alemã Bundeskriminalamt (BKA)  é responsável por esta operação e os servidores estão sobre o controlo das autoridades de forma a que este atividade programada de desinfeção ocorra com sucesso.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *