Группа энтузиастов самостоятельно борется с малварью Emotet

[exchangemoney]

Издание https://www.zdnet.com/article/meet-t...erous-malware/ пообщалось с участниками группы Cryptolaemus, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившихся ради общей цели: борьбы с малварью Emotet. Каждый день группа публикует https://paste.cryptolaemus.com/ и в https://twitter.com/Cryptolaemus1 новые отчеты, индикаторы компрометации, IP-адреса управляющих серверов Emotet, хэши зараженных файлов и другую полезную информацию. Эксперты надеются, что эти данные помогут администраторам по всему миру защитить системы от возможных заражений Emotet, а также помогут обнаружить атаки на ранних стадиях, пока малварь не успела нанести значительный ущерб.
Emotet появился еще в 2014 году и сейчас, это одна из наиболее активных угроз среди вредоносных программ. Малварь распространяется преимущественно с почтовым спамом, через вредоносные документы Word. Такие письма могут маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку и даже под информацию о распространении коронавируса. Словом, хакеры внимательно следят за мировыми трендами и постоянно совершенствуют свои письма-приманки.
Хотя когда-то Emotet начинал свой пусть как классический банковский троян, но сейчас угроза сильно видоизменилась, превратившись в мощный загрузчик, а ее операторы стали активно сотрудничать с другим преступными группами.
Сегодня Emotet поставляется с множеством модулей, которые позволяют малвари распространяться внутри сети. Недавно ИБ-специалисты обнаружили, что для бокового перемещения Emotet даже может действовать https://xakep.ru/2020/02/10/emotet-worm/.
Проникнув в систему жертвы, Emotet использует зараженную машину для дальнейшей рассылки спама, а также устанавливает на устройство самую разную дополнительную малварь. Зачастую это банкеры, такие как Trickbot (который ворует учетные данные, cookie, историю браузера, ключи SSH и так далее), майнеры, инфостилеры, а также шифровальщики, вроде Ryuk.
Участники группы Cryptolaemus регулярно встречаются в Slack и Telegram, где обсуждают новые способы борьбы с Emotet. Многие из участников команды не могут раскрыть свои личности и открыто заявить, что состоят в группе, так как они связаны различными NDA, и их контракты не позволяют открыто делиться информацией об угрозах в интернете. Некоторые работают ИТ-администраторами в крупных корпорациях, другие являются сотрудниками фирм, специализирующихся на кибербезопасности.
ZDNet рассказывает, что группа возникла в 2018 году, когда системный администратор из США, известный в Twitter как https://twitter.com/JayTHL, выдвинул идею создания такой команды в групповом чате. Почти все присутствующие согласились, что борьба с Emotet – благое и интересное дело. Постепенно группа росла, участников становилось больше, и они объединяли усилия, чтобы публиковать индикаторы компрометации и работать над проблемой сообща.
«Лично я просто хочу помочь людям и остановить эту угрозу, — сказал журналистам https://twitter.com/JRoosen, один из немногих участников Cryptolaemus, раскрывших свое имя. — Когда в ноябре 2017 года Emotet заразил сеть на моей работе, остановить его удалось лишь благодаря тому, что у нас была довольно надежная схема VLAN, и поэтому боковое движение было ограничено, и очитка прошла легко. Но этот опыт изменил мою жизнь, а вместе с тем разозлил меня».
Что до названия https://ru.wikipedia.org/wiki/%D0%9A...83%D1%81%D1%8B («криптолемус»), оно родилось в 2018 году, после того как компания Symantec опубликовала https://www.symantec.com/blogs/threa...an-distributor, посвященный Emotet. Документ гласил, что оператором малвари выступает некто, известный под псевдонимом Mealybug («червец», сельскохозяйственный вредитель). Криптолемусы же – это род божьих коровок, которые используются, в том числе, для уничтожения и понижения численности червецов. Идею названия подсказал исследователям один из членов команды, https://twitter.com/ps66uk, который является не только ИБ-специалистом, но еще и биологом.
Участники Cryptolaemus признаются, что в конечном итоге им хотелось бы увидеть, как Emotet закроется, а его создатель, известный как Иван, окажется за решеткой. И хотя до этого определенно еще далеко, пока специалисты готовы хотя бы снижать количество заражений и тем самым лишать Ивана прибыли. Так, некоторые члены команды занимаются реверс-инжинирингом пейлоадов Emotet, другие отслеживают управляющие серверы ботнета, третьи взламывают шифрование и протоколы, связанные с Emotet.
За работой Cryptolaemus пристально следят как правоохранительные органы, так и коллеги энтузиастов из компаний, занимающихся кибербезопасностью. Более того, эксперты уверены, что разработчики Emotet наблюдают за ними не менее внимательно.
«Я абсолютно уверен, что они знают о нас и читают наши ежедневные отчеты, — говорит Розен. — Мы слишком часто наблюдали, как они меняют тактику буквально через несколько минут после наших публикаций, чтобы это было простым совпадением. Я абсолютно уверен, что они – одни из наших многочисленных читателей, которые читают наши отчеты, как только те появляются».
«По правде говоря, видеть такое сотрудничество в группе действительно здорово, потому что некоторые из нас буквально работают на прямых конкурентов друг друга, но все же мы можем работать сообща и публиковать индикаторы компрометации, что редко встречается в отрасли», — рассказывает еще один член Cryptolaemus, https://twitter.com/lazyactivist192, аналитик компании Binary Defense.
«Самое большое наше достижение — это открытое сотрудничество и обмен между различными организациями в отрасли, — поддерживает коллегу Розен. — Поскольку нас рассматривают как нейтральную сторону, люди готовы сотрудничать с нами более свободно, и благодаря этой коллаборации вместе мы добились больших успехов».