Cảnh sát Phá Hủy Emotet, 'Phần Mềm Độc Hại Nguy Hiểm Nhất' trên Internet

Trong hơn một nửa thập kỷ, phần mềm độc hại được biết đến với tên gọi Emotet đã đe dọa internet, phát triển thành một trong những botnet lớn nhất thế giới và tấn công nạn nhân bằng việc đánh cắp dữ liệu và ransomware làm tê liệt. Bây giờ, một cuộc điều tra cảnh sát toàn cầu rộng lớn đã đạt đến việc phá hủy Emotet và bắt giữ nhiều thành viên nghi phạm của âm mưu tội phạm đứng sau đó.

Europol công bố hôm nay rằng một liên minh toàn cầu của các cơ quan chức năng ở Mỹ, Canada, Anh, Hà Lan, Đức, Pháp, Lithuania và Ukraine đã phá hủy Emotet, cái mà họ gọi là 'phần mềm độc hại nguy hiểm nhất thế giới'. Nỗ lực toàn cầu, được biết đến với tên gọi là Chiến Dịch Ladybird, đã phối hợp với các nhà nghiên cứu bảo mật riêng để phá hủy và kiểm soát cơ sở hạ tầng điều khiển của Emotet—nằm ở hơn 90 quốc gia, theo cảnh sát Ukraine—đồng thời bắt giữ ít nhất hai thành viên của băng tội phạm mạng.

Một video về cuộc đột kích được cảnh sát Ukraine công bố cho thấy các cảnh sát thu giữ thiết bị máy tính, tiền mặt và hàng loạt thanh vàng từ những người điều hành Emotet đặt tội. Cảnh sát Ukraine và Europol đều không công bố tên của những hacker bị bắt giữ hoặc chi tiết về vai trò nghi ngờ của họ trong băng Emotet. Một tuyên bố từ các cơ quan chức năng Ukraine lưu ý rằng 'các thành viên khác của một nhóm hacker quốc tế sử dụng cơ sở hạ tầng của mạng bot Emotet để thực hiện các cuộc tấn công mạng cũng đã được xác định. Các biện pháp đang được thực hiện để bắt giữ họ.'

"Hạ tầng Emotet về cơ bản đã hoạt động như một bức cửa chính mở cho các hệ thống máy tính trên quy mô toàn cầu," đọc một tuyên bố của Europol về chiến dịch này. Cuộc điều tra và phá hủy quốc tế, theo tuyên bố, "dẫn đến hành động trong tuần này khi cơ quan chức năng và tòa án đã kiểm soát cơ sở hạ tầng và làm nó sập từ bên trong."

Theo cảnh sát Hà Lan, Emotet đã gây thiệt hại hàng trăm triệu đô la, trong khi cảnh sát Ukraine ước tính con số lên đến 2,5 tỷ đô la. Botnet chủ yếu đã lan truyền qua thư rác chứa liên kết độc hại và tài liệu nhiễm độc hại với macros Microsoft Office bị nhiễm, và nổi tiếng vì gửi mọi thứ từ trojan ngân hàng đến ransomware đến máy tính của nạn nhân.

Những người điều hành botnet nổi tiếng với việc rất giỏi trong việc tránh bộ lọc thư rác, theo Martijn Grooten, một nhà nghiên cứu bảo mật độc lập và người tổ chức trước đây của hội nghị Virus Bulletin theo dõi Emotet từ nhiều năm. Họ đã sử dụng máy chủ thư đã bị nhiễm để gửi mời thư hàng loạt, và lan rộng bên trong mạng tổ chức để có một địa vị vững chắc hơn trên nhiều máy tính sau khi nạn nhân nhấp vào mồi. Người điều hành Emotet còn hợp tác với các băng tội phạm mạng khác, bán quyền truy cập cho những người tập trung vào trộm cắp và ransomware. Điều này giúp phát triển các botnet lớn khác như Trickbot, đã nhiễm trên một triệu máy tính trước khi bị một liên minh công nghiệp an ninh và US Cyber Command làm mất ổn định một phần vào tháng 10. "Họ thực sự giỏi trong việc xâm nhập phòng ngự của các công ty," Grooten nói. "Bạn chỉ cần nhấp vào một tệp đính kèm Word, bật macros, và hóa ra quyền truy cập vào máy tính của bạn đã được bán cho một nhà điều hành ransomware và công ty của bạn bị đòi tiền 2 triệu đô la."

Để hạ gục Emotet, cảnh sát và một nhóm lớn các chuyên gia bảo mật đã cùng nhau làm việc để đồng thời nắm quyền kiểm soát hàng trăm máy chủ điều khiển của Emotet, theo một nhà nghiên cứu bảo mật trong một nhóm ngành công nghiệp tập trung vào theo dõi và phá hủy botnet, người đã yêu cầu không được tiết lộ tên. Để cắt đứt sợi dây của những người điều khiển con rối botnet, họ âm thầm đặt máy tính của họ tại các địa chỉ IP của những máy tính điều khiển đó—nhiều trong số đó đã là máy tính đã bị hack mà băng Emotet sử dụng để quản lý botnet và gửi hướng dẫn đến máy tính của nạn nhân.

"Chúng tôi đã kiểm soát mọi C2 quan trọng, từ trên xuống, từ trái sang phải," nhà nghiên cứu bảo mật tham gia vào cuộc tấn công nói, sử dụng thuật ngữ C2 để chỉ máy chủ điều khiển. "Nếu máy nạn nhân liên lạc với một trong những máy chủ của tôi hoặc máy chủ của đối tác của chúng tôi, họ sẽ nhận được một gói tin không hoạt động và ngăn chặn giao tiếp tiếp theo với botnet. Emotet không còn hoạt động và máy tính bị nhiễm không làm gì nữa."

Các cuộc tấn công phá hủy botnet trong quá khứ thường chỉ đạt được thành công hỗn hợp, với tội phạm mạng thường xuyên xây dựng lại nhanh chóng sau một cuộc tấn công. Ngay cả cuộc cố gắng làm mất ổn định botnet Trickbot của Cyber Command, ví dụ, hiện nay được cho là đã gây ra một đòn bẩy ngắn hạn cho những người điều hành của nó, người đã phát triển phiên bản mới của phần mềm độc hại của họ và tiến triển trong việc xây dựng lại.

Ngược lại, cuộc hành động chống lại Emotet dường như có ý định tìm cách chặt đầu con quái vật một cách vĩnh viễn hơn. Trong tuyên bố của họ về cuộc tấn công chống lại Emotet, cảnh sát Hà Lan lưu ý rằng họ đã phát hiện và làm gián đoạn cả bản sao lưu cơ sở hạ tầng, nhấn mạnh rằng họ "hy vọng... sẽ làm cho việc xây dựng lại Emotet trở nên nghiêm trọng khó khăn." Nhà nghiên cứu bảo mật tham gia vào cuộc tấn công xác nhận rằng cuộc hành động đã theo dõi quy trình sao lưu của hacker để đảm bảo không có kỹ thuật khôi phục không rõ, ẩn nấp, và anh ta tin rằng tất cả các bản sao lưu đều bị làm gián đoạn. "Chúng tôi tìm thấy bản sao lưu của họ và cách họ sử dụng chúng, và chúng tôi đã lấy hết chúng," nhà nghiên cứu nói. "Sẽ rất khó khăn cho họ để phục hồi, và ngay cả khi họ làm được, chúng tôi vẫn có những công cụ khác để chống lại điều đó."

Tuy nhiên, cảnh sát Hà Lan cũng cảnh báo rằng những nạn nhân tiềm năng nên kiểm tra xem máy tính của họ có phải là một phần của botnet Emotet bằng một công cụ "Emotet Checker" họ đã phát hành tại đây. Marcus Hutchins, một nhà nghiên cứu bảo mật cho Kryptos Logic theo dõi Emotet và các botnet khác từ nhiều năm, cảnh báo rằng bất kỳ ai máy tính của họ bị nhiễm độc hại nên cẩn thận để làm sạch hệ thống của họ mặc dù Emotet đã bị hạ gục; anh ấy cảnh báo rằng họ vẫn có thể bị tấn công bởi phần mềm độc hại phụ mà các đối tác của Emotet trước đây đã tải xuống máy tính của họ, chẳng hạn như TrickBot hoặc QakBot.

Nếu Emotet bị phá hủy vĩnh viễn, cuộc tấn công thực sự có thể là một đòn nghiêm trọng đối với các nhà điều hành ransomware trên toàn cầu, đã gây thiệt hại hàng tỷ đô la và thậm chí làm nguy hiểm đến tính mạng trong các bệnh viện bị nhắm đến trong những nỗ lực tống tiền của họ, theo nhà nghiên cứu bảo mật Martijn Grooten. Nhưng khoảnh khắc nghỉ ngơi có thể không kéo dài. "Nhiều hoạt động sẽ bị làm phiền một cách nào đó, nhưng trong khuôn khổ toàn cầu, các diễn viên malware có thể tồn tại mà không cần Emotet," Grooten nói. "Nếu bạn phụ thuộc vào Emotet để có quyền truy cập ban đầu, bạn sẽ sử dụng một thứ khác để đạt được điều đó thay vì."

Các Câu Chuyện Tuyệt Vời Khác Của MYTOUR

• 📩 Muốn cập nhật tin tức về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi!
• 2034, Phần I: Nguy Cơ ở Biển Nam Trung Quốc
• Hành trình sống sót trong thời gian cách ly—trong trang phục ấm áp
• Cách lực lượng chức năng vượt qua mã hóa điện thoại của bạn
• Văn bản được trang bị trí tuệ nhân tạo từ chương trình này có thể đánh lừa chính phủ
• Sự sụp đổ liên tục của các lớp nước dưới đất trên thế giới
• 🎮 MYTOUR Games: Nhận các mẹo mới nhất, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có những công cụ tốt nhất để duy trì sức khỏe? Kiểm tra các lựa chọn của đội ngũ Gear của chúng tôi cho bộ theo dõi sức khỏe tốt nhất, trang thiết bị chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất