Trojan Emotet znowu powraca i nadal zalicza się do najbardziej złośliwego oprogramowania atakującego całe systemy komputerowe. Według statystyk dotyczy to zarówno ilości takich ataków, jak i szkód jakie potrafią one wyrządzić. Hakerzy atakują użytkowników poprzez fałszywe wiadomości e-mail organizując zaplanowane na dużą skalę kampanie spamowe.
Emotet nie jest nowym zjawiskiem, jego historia sięga jeszcze 2014 roku. Na przestrzeni lat powstało wiele jego odmian, a metodyka działania ciągle zmienia się i trojan wciąż ewoluuje. Jednak niezmiennie, aż po dzień dzisiejszy jeden czynnik pozostaje taki sam - technika ataku polega na umieszczaniu załącznika w wiadomości e-mail lub stworzenie adresu URL, gdzie można pobrać zarażony plik.
Dotychczas Emotet ograniczał się wyłącznie do atakowania komputerów i serwerów podłączonych do sieci korporacyjnych, w praktyce często ich niewielkiej części, gdyż wiele firm segmentuje swoje środowiska sieciowe, a z tym trojan nie do końca mógł sobie poradzić, dlatego atakował tylko to co było w jego realnym zasięgu.
Jednak ostatnio pojawiły się nowe wersje tego zagrożenia, które tym razem radzą sobie z segmentacją sieci. Odkrycia tego dokonali eksperci do spraw bezpieczeństwa z BinaryDefense. Nowa wersja trojana wykorzystuje do ataku sieci Wi-Fi, dlatego moduł realizujący to zadanie przyjął nazwę WiFi Emotet.
Praktyka pokazuje, że używanie silnych haseł chroniących sieci Wi-Fi nie leży w zakresie priorytetów użytkowników tych sieci co sprawia, że Emotet ma ułatwione zadanie i bezlitośnie wykorzystuje ten fakt. W rzeczywistości komputery zainfekowane tym trojanem zagrażają nie tylko innym komputerom funkcjonującym w sieci wewnętrznej, ale również innym sieciom komunikującym się nią.
Według BinaryDefense, WiFi Emotet jest niegroźny dla systemów Windows XP SP2 i Windows XP SP3, ponieważ wykorzystuje niektóre nowe mechanizmy i funkcje, których te systemy nie wspierają. Jest to oczywiście w jakimś sensie dobra wiadomość, ale należy sobie zadać pytanie - ile osób i firm korzysta z tego niewspieranego od lat systemu, który z tego powodu podlega innym zagrożeniom?
WiFi Emotet nie jest pierwszą, ale prawdopodobnie też nie ostatnią odsłoną tego trojana. Jego metodyka działania będzie będzie ciągle się zmieniać i dopasowywać tak, aby pokonywać kolejne, nowsze zabezpieczenia. Póki co schemat działania WiFi Emoteta jest następujący:
- Zainfekowanie jednego (lub więcej) z komputerów w sieci i pobranie i uruchomienie na nim modułu WiFi Spreader,
- Moduł WiFi Spreader sporządza listę urządzeń Wi-Fi podłączonych do komputera za pośrednictwem WLAN NIC (WLAN Network Interface Controller).
- Wyodrębnienie przez moduł wszystkich lokalnych sieci Wi-Fi ze sporządzonej listy.
- WiFi Spreader atakuje każdą dostępną sieć Wi-Fi metodą brute-force, posługując się dwiema listami zawierającymi łatwe do odgadnięcia hasła.
- Jeśli atak brute-force kończy się powodzeniem, WiFi Emotet uzyskuje dostęp do sieci, ale jeszcze nie do pracujących w niej serwerów i komputerów.
- Moduł uruchamia kolejny atak brute-force, próbując odgadnąć dane uwierzytelniające użytkowników korzystających z usług pracujących w tej sieci serwerów.
- Gdy drugi atak brute-force udaje się, moduł zyskuje przyczółek w kolejnej sieci i rozpoczyna swoją pracę od początku, opanowując kolejne sieci Wi-Fi.
Nasz apel do użytkowników komputerów i sieci Wi-Fi - nie otwierajcie podejrzanych wiadomości i załączników, które mogą wyglądać, jakby pochodziły od znajomych Wam osób, dopóki nie upewnicie się, że faktycznie te osoby mogły Wam je świadomie wysłać. Koniecznie zmieńcie proste do odgadnięcia hasła do WiFi (oraz inne również - praktyka tworzenia silnych haseł to dzisiaj podstawa) i zastępujcie je trudnymi do rozszyfrowania. Takie kroki nic nie kosztują, a póki co trojan będzie wobec nich bezsilny. Pomoże to uchronić Ciebie i innych przed atakiem i jest najprostszym zabezpieczeniem przed tym i wieloma innymi zagrożeniami. Używajcie oprogramowania antywirusowego z aktualnymi bazami zagrożeń. Osoby korzystające z systemu Windows 10 mają do dyspozycji wbudowane takie oprogramowanie, o którym pisaliśmy w artykule Windows Defender – antywirus wbudowany w Windows.
