Por Nuno Freitas, Threat Intelligence and Malware Analyst na S21sec
O Emotet, um malware-as-a-service modular muito perigoso, continua a afetar organizações em todo o mundo, e de forma silenciosa
O Emotet é um malware modular utilizado atualmente para distribuir outros malwares, sendo hoje uma das principais ameaças às empresas de todo o mundo. Surgiu em 2014 como um típico Trojan bancário, mas, em 2017, alterou o seu modelo de negócio, começando a ser distribuído sem esse módulo, passando a focar a sua ação na distribuição de outras ameaças.
Com efeito, nos seus primórdios, ainda sob a forma de Trojan bancário, foi responsável por campanhas em pontos geográficos específicos, como por exemplo Alemanha, Áustria e Suíça, onde tinha como objetivo infetar utilizadores dessas regiões e roubar as suas credenciais bancárias.
Entretanto com o tempo, e especialmente após tornar-se num distribuidor de malware, o Emotet passou a ter como objetivo infetar o maior número de máquinas possível para satisfazer a procura e, para isso, conta com uma componente de spam muito ativa.
Assim que o Emotet infeta uma máquina, pode executar módulos específicos com o objetivo de efetuar movimento lateral, assim como recolher os vários contactos presentes nos clientes de e-mail, conteúdo das caixas de entrada das vítimas e credenciais de email. Toda a informação recolhida é enviada para os seus servidores de Comand and Control (C2) de forma encriptada
Um modelo lucrativo e “silencioso”
O modelo de negócio do Emotet, denominado de Malware-as-a-Service, baseia-se em "alugar" o acesso a máquinas infetadas a outros Grupos maliciosos, onde o seu Malware poderá ser instalado. Faz uso de spam para infetar o máximo de sistemas possíveis, sendo que, posteriormente, o acesso a essas máquinas é “vendido” a outros grupos de malware.
Como ummalware modular, o Emotet apresenta vários módulos, cada um com uma finalidade específica, para roubar informação de passwords, emails, etc., dependendo sempre do objetivo do atacante. Hoje em dia, trocamos muita informação por email, temos grande parte das nossas operações diárias a serem relatadas via email e vemos casos em que o Emotet faz uso do conteúdo dos emails roubados de modo a enviar novas vagas de Spam contextualizado, o que quer dizer que esta informação é processada.
Este é, de facto, um dado muito importante de que as empresas frequentemente ignoram: Numa situação onde se observa, por exemplo, a cadeia de infeção Emotet, Trickbot e Ryuk, sabemos que os atores maliciosos estiveram ativamente dentro da rede a mover-se lateralmente e consequentemente tiveram acesso a muita informação. Embora a componente de Ransomware seja a mais obvia, é sempre importante perceber que a ameaça é bem mais complexa do que aparenta.
Os atacantes conseguem estar meses dentro de uma rede, sendo que um dos casos reportados pela Crowdstrike refere que este grupo permaneceu numa determinada rede durante um ano, movendo-se lateralmente dentro da rede da organização.
Recentemente têm sido noticiados diversos casos de empresas afetadas com Ransomware, sendo que em diversos casos é confirmada a presença de familias de Ransomware que estão associadas ao Emotet como por exemplo o Ryuk (via Trickbot) e o BitPaymer (via Dridex).
Recomendações de segurança
Antes de falarmos sobre tecnologia, devemos abordar o tema "utilizador". Este malware não consegue funcionar efetivamente sem a participação utilizador. O grupo por detrás do Emotet utiliza ativamente técnicas de engenharia social para atingir seus objetivos e, como tal, consciencializar os utilizadores para este tipo de perigos é um bom ponto de partida.
Depois temos outras possibilidades como por exemplo o bloqueio de execução de macros e powershell em workstations, quando o uso destas não é uma necessidade vital para o negócio. No entanto, há empresas que necessitam de o fazer, como por exemplo na área da contabilidade, em que é comum o uso de macros no Excel para realizar determinadas tarefas. Nestes casos, há que fazer um balanço entre a necessidade e o risco.
Nunca é demais referir que devemos manter os backups isolados, para garantir que, na eventualidade da ocorrência de uma situação destas, possamos reverter a rede ou o sistema para um estado não infetado e prosseguir com as operações diárias.
Por fim, e como não poderia deixar de ser, todos os endpoints deverão ter instalado e atualizado um sistema antivírus ou EDR (Endpoint Detection and Response) de modo a detetar a presença do Emotet.
A solução de EDR permite-nos detetar determinados tipos de ataques numa fase mais precoce da CyberKill Chain.