全球最危險殭屍網絡Emotet的末日終於來臨
歐洲刑事組織(Europol)和歐洲司法合作組織(Eurojust)在2021年1月採取聯合行動,強制關閉過去十年全球其中一個惡名昭彰的殭屍網絡 Emotet[1]。有網絡保安研究人員亦證實,已經透過Emotet更新機制向受感染裝置推送「自我卸載」模組,指令有關裝置於2021年4月25日自動卸載Emotet程式 [2]。是次執法行動以及Emotet自我卸載模組,標誌著這個作惡多時的殭屍網絡即將告一段落。
什麼是Emotet?
Emotet於2014年最早被發現,最初只是一種銀行木馬程式,透過附有惡意JavaScript的垃圾郵件(即malspam),試圖潛入電腦中盜取敏感資料。其後的進化版本使用有巨集的文件檔來隱藏惡意程式碼。Emotet在過去數年不斷被網絡不法份子更新,以提高其隱藏性、持續性,以及加添新功能來擴大感染範圍。 Emotet擁有全自動化的傳播能力,會使用不同名稱的釣魚電郵附件(如發票,運輸通知等),然後發送到受害者的電腦。一旦受害者打開了附件,惡意程式便會立即執行,程式會安裝其他惡意軟件到受害者的電腦。
近年來Emotet的影響
有保安研究人員發現,後期的Emotet會加載勒索軟件和其他類似蠕蟲的銀行木馬程式,對受影響的系統造成實際損害 [3]。 其他事故當中,Emotet會偽裝成殘疾人福利服務機構,向潛在的受害者發送電郵,附有類似「 感染報告」的文件檔,以載入惡意軟件 [4]。在2020年,Emotet更借2019 冠狀病毒病之名發動攻擊。
過去數年,Emotet的攻擊遍及全球,個人、公司甚至世界各地政府皆遭受沉重損失,其中以2019年針對德國城市法蘭克福的攻擊為最嚴重的一次。當時,為了阻止Emotet在市內進一步傳播,當地被迫要關閉資訊網絡一周,[5]。
保安建議
HKCERT多年來一直監察著Emotet在香港的傳播情況,並不時地提醒相關的互聯網服務供應商(ISP)提高警覺。儘管Emotet已被海外執法機構搗破,但HKCERT仍敦促公眾和機構對任何惡意軟件攻擊保持警惕,並採用下列防禦建議:
- 切勿打開來自不知名發件人的電郵附件。 在打開任何附件之前,仔細檢查發件人和內容,以確保電子郵件的真確性;
- 定期更新系統;
- 安裝及更新保安軟件和病毒識別碼;
- 使用高強度的密碼;以及
- 盡可能啟用雙重認證。
參考連結:
[3] https://www.malwarebytes.com/emotet/
[5] https://www.zdnet.com/article/frankfurt-shuts-down-it-network-following-emotet-infection/
分享至