Mengapa Emotet kembali, dan haruskah kita mengkhawatirkannya?

Undian mantap Result SGP 2020 – 2021. Prize gede yang lain ada diamati dengan terprogram melewati poster yang kita sampaikan di laman itu, serta juga bisa dichat terhadap operator LiveChat support kami yg siaga 24 jam Online untuk meladeni segala kebutuhan antara pemain. Lanjut cepetan daftar, serta kenakan diskon Lotre dan Live Casino Online terhebat yg wujud di laman kami.

Kembali pada Januari 2021, pro dunia maya bersukacita ketika operasi global oleh lembaga penegak hukum membongkar botnet Emotet untuk selamanya.

Penghapusan itu dirayakan sebagai contoh kekuatan kolaborasi dalam menghadapi ancaman keamanan global dan berdampak langsung pada kejahatan dunia maya bawah tanah.

Namun dalam beberapa hari terakhir, tanda-tanda mengkhawatirkan telah muncul bahwa Emotet kembali beroperasi, memicu kekhawatiran akan kampanye baru aktivitas jahat. Jadi, apa yang telah terjadi? Dan seberapa pedulikah para pembela HAM?

Emotet dimulai sebagai trojan perbankan yang relatif run-of-the-mill pada tahun 2014, tetapi selama tahun-tahun berikutnya dikembangkan dan disempurnakan oleh penciptanya menjadi botnet yang sangat canggih yang digunakan sebagai mekanisme pengiriman – pemuat dalam bahasa cyber – untuk lainnya jahat seperti malware dan ransomware.

Pada akhir tahun 2020, Emotet telah menjadi bagian penting dari ekonomi kejahatan dunia maya sebagai layanan, yang disewakan kepada aktor jahat sebagai sarana untuk mengakses target untuk mencuri dan meminta tebusan data.

Kru ransomware Ryuk adalah salah satu pelanggan Emotet yang lebih andal, di antara banyak pelanggan lainnya, dan lebih banyak lagi di tautan ini nanti.

Pada puncak aktivitasnya, Emotet adalah ancaman yang sangat efektif dan berbahaya, dengan operatornya dianggap sebagai ahli teknik rekayasa sosial seperti email spear phishing yang dipesan lebih dahulu – yang digunakan untuk mendorong target menginfeksi diri mereka sendiri.

Tidak begitu cepat

Oleh karena itu, pencopotannya pada bulan Januari dirayakan dengan benar, tetapi bahkan pada saat itu, banyak pakar keamanan meredam antusiasme mereka dan mengatakan kemungkinan Emotet pada akhirnya akan muncul kembali dalam beberapa bentuk.

Di antara mereka adalah Kimberly Goody dari Mandiant, yang mengatakan pada saat itu kemungkinan bahwa beberapa operasi mitra Emotet, seperti Trickbot, Qakbot, dan Silentnight, dapat dimanfaatkan untuk membangun kembali botnet.

Sesuatu seperti ini memang sekarang tampaknya telah terjadi. Tanda-tanda awal bahwa Emotet muncul kembali mulai muncul pada malam 14 November, ketika analis keamanan di GData menemukan bukti dari pelacak Trickbot mereka bahwa bot tersebut mencoba mengunduh pustaka tautan dinamis (DLL) ke sistem. Analisis selanjutnya mengungkapkan bahwa DLL adalah Emotet, dan keesokan paginya, ketika orang lain mengonfirmasi tautannya, berita itu menyebar dengan cepat.

Menurut percakapan antara Lawrence Abrams dari Komputer Bleeping, yang merupakan salah satu yang pertama melaporkan kemunculan Emotet, dan peneliti keamanan, operator botnet tampaknya telah membangunnya kembali menggunakan infrastruktur milik Trickbot – seperti yang diteorikan oleh Goody di Mandiant – dan kemungkinan besar menandai lonjakan aktivitas, terutama di antara ransomware operator, banyak dari mereka telah menemukan diri mereka di belakang kaki akhir-akhir ini.

Mumi dan Penyihir

Wakil presiden senior intelijen Crowdstrike, Adam Meyers, mengatakan kemunculan kembali botnet, yang dia hargai atas hubungan kuat sebelumnya antara operator Emotet dan Trickbot (yang dilacak Crowdstrike masing-masing sebagai Mummy Spider dan Wizard Spider) adalah tanda dari “betapa tangguhnya lingkungan kejahatan elektronik telah menjadi”.

Meyers menyarankan bahwa ada kemungkinan bahwa Laba-laba Penyihir mungkin sebenarnya telah mengambil alih Emotet untuk dirinya sendiri dalam beberapa bentuk. Perhatikan, kebetulan, Wizard Spider juga menghitung ransomware Ryuk dan Conti di gudang senjatanya.

Direktur intelijen ancaman Radware Pascal Geenens mengatakan kemungkinan besar Emotet bekerja dengan Trickbot untuk mendapatkan pijakan besar dengan cepat, ke titik di mana ia dapat melanjutkan pertumbuhan mandiri, dan menyarankan hanya masalah waktu sebelum ini terjadi.

“Mengingat jumlah kampanye pemerasan yang sukses dan pembayaran besar yang melibatkan ransomware dalam sejarah baru-baru ini, seharusnya ada banyak permintaan untuk platform malware-as-a-service oleh operator ransomware,” kata Geenens.

“Waktunya tepat untuk kembali berbisnis bagi para aktor yang mampu mempertahankan salah satu platform malware terbesar dan paling produktif dalam sejarah kejahatan dunia maya.”

Stefano De Blasi dari Digital Shadows mengatakan kemungkinan besar Emotet akan diterima dengan antusias. “Banyak kelompok penjahat dunia maya mungkin kembali ke Emotet sebagai pendekatan yang telah dicoba dan diuji, meskipun perubahan ini kemungkinan akan terlihat selama beberapa bulan,” katanya.

“Tidak diragukan lagi akan memakan waktu untuk membangun kembali infrastruktur Emotet, namun, reputasinya yang besar di komunitas kriminal dunia maya menjadikannya pilihan yang dapat diprediksi bagi banyak pelaku ancaman yang ingin memperluas operasi mereka.”

Apa selanjutnya?

Emotet mungkin kembali, tetapi pada saat penulisan, pengaruhnya tampaknya masih agak terbatas – meskipun sudah ada indikator bahwa itu digunakan dalam kampanye spam.

“Untuk melindungi diri mereka sendiri, sangat bergantung pada organisasi yang memastikan mereka mengidentifikasi host yang disusupi dengan cepat dan memulihkannya,” kata Meyers dari Crowdstrike.

“Berdasarkan penelitian kami tentang breakout time – yaitu waktu yang dibutuhkan musuh untuk bergerak menyamping dalam lingkungan korban – tim keamanan harus mendeteksi ancaman rata-rata dalam satu menit, memahaminya dalam 10 menit dan menahannya dalam 60 menit agar efektif. dalam menghentikan pelanggaran.”

Untuk saat ini, kata Jen Ellis, wakil presiden komunitas dan urusan publik di Rapid7, ada sedikit hal luar biasa yang perlu dilakukan oleh para pembela HAM.

“Dari informasi yang tersedia, tampaknya meskipun mereka masih dalam tahap awal membangun kembali jaringan mereka, Emotet sudah mengirimkan spam,” katanya. “Tampaknya ini menunjukkan bahwa kita dapat berharap untuk melihat pengontrol Emotet melanjutkan operasi seperti yang mereka lakukan sebelum takedown pada bulan Januari.

“Namun sejak itu, kami telah melihat penegak hukum dan sektor swasta bekerja lebih erat bersama dalam tindakan terpadu lainnya untuk mencegah dan mengganggu kelompok penyerang. Mereka akan mengawasi perkembangan ini dengan cermat dan saya menduga mereka sudah mempertimbangkan tindakan potensial untuk menghentikan Emotet kembali ke supremasi yang pernah dinikmatinya.

“Sementara itu bisnis seperti biasa bagi para profesional keamanan,” kata Ellis. “Nama Emotet mungkin menimbulkan ketakutan di hati mereka, tetapi kenyataannya adalah mereka diserang setiap hari dan semua tindakan yang sama diperlukan untuk bertahan melawan serangan itu sama untuk Emotet. Penambalan tepat waktu, strategi manajemen akses dan identitas yang efektif, segmentasi jaringan, pencadangan offline reguler, pemfilteran email, dan kesadaran pengguna adalah komponen inti dari strategi pertahanan yang mendalam dan ketahanan bisnis.”

Peneliti Appgate Felipe Duarte Domingues memiliki saran serupa untuk para pemain bertahan. “Manajer TI dan tim keamanan siber perlu mengelola versi Emotet baru ini seperti halnya ancaman malware lainnya, menerapkan langkah-langkah keamanan yang wajar dan melatih karyawan terhadap serangan rekayasa sosial seperti email dan phishing,” katanya.

“Penting untuk diperhatikan bahwa kemampuan baru tersebut menunjukkan bahwa para aktor berfokus untuk mengeksekusi malware lain bersama dengan Emotet. Botnet seperti Trickbot sering digunakan untuk menyebar dan bergerak secara lateral ke dalam jaringan, dan bahkan menyebarkan ransomware.

“Mengadopsi model tanpa kepercayaan penting bagi organisasi mana pun yang ingin dilindungi dari Emotet atau botnet lainnya. [or] ancaman ransomware. Dengan mengasumsikan semua koneksi dapat dikompromikan dan menyegmentasikan jaringan Anda, Anda dapat membatasi sistem yang terpengaruh dan tindakan ancaman ke satu perimeter, dan meningkatkan kemungkinan mendeteksi perilaku jahat di dalam jaringan Anda.”

Respon kilat

Di sisi positifnya, Doug Britton, CEO Haystack Solutions, sebuah perusahaan layanan keamanan yang berbasis di AS, mengatakan itu mungkin pertanda positif bahwa Emotet terlihat dan diidentifikasi begitu cepat.

“Emotet adalah bagian dari malware yang menyebar dan menunjukkan daur ulang dan evolusi dalam teknik pengiriman malware,” katanya. “Sangat menarik untuk melihat ini di babak awal dalam restrukturisasi dan pembangunan kembali Emotet dan infrastruktur bot-spamnya.

“Sangat menjanjikan untuk mendengar bahwa para peneliti telah secara proaktif mengidentifikasi ini. Profesional dunia maya sangat penting dalam memerangi ancaman terus-menerus dari malware yang terus berkembang. Seperti yang bisa kita lihat, aktor jahat sedang mengembangkan pipa untuk mengirimkan malware dalam skala besar.”