Malware Emotet menukik dirinya hari ini dari semua komputer yang terinfeksi di seluruh dunia

  • Whatsapp
Malware Emotet secara paksa dihapus hari ini oleh pembaruan polisi Jerman


Bacaan Lainnya

Emotet, salah satu botnet spam email paling berbahaya dalam sejarah baru-baru ini, sedang dihapus hari ini dari semua perangkat yang terinfeksi dengan bantuan modul malware yang dikirimkan pada bulan Januari oleh penegak hukum.

Penghapusan botnet adalah hasil dari tindakan penegakan hukum internasional yang memungkinkan penyelidik melakukannya kendalikan server Emotet dan mengganggu operasi malware.

Emotet digunakan oleh kelompok ancaman TA542 (alias Mummy Spider) untuk menyebarkan muatan malware tahap kedua, termasuk QBot dan Trickbot, ke komputer korban yang disusupi.

Serangan TA542 biasanya menyebabkan gangguan jaringan penuh dan penyebaran muatan ransomware pada semua sistem yang terinfeksi, termasuk ProLock atau Egregor oleh Qbot, dan Ryuk dan Conti oleh TrickBot.

Cara kerja uninstaller Emotet

Setelah operasi penghapusan, penegakan hukum mendorong konfigurasi baru ke infeksi Emotet aktif sehingga malware akan mulai menggunakan server perintah dan kontrol yang dikendalikan oleh Bundeskriminalamt, badan polisi federal Jerman.

Penegak hukum kemudian mendistribusikan modul Emotet baru dalam bentuk EmotetLoader.dll 32-bit ke semua sistem yang terinfeksi yang akan menghapus malware secara otomatis pada 25 April 2021.

Peneliti keamanan Malwarebytes Jérôme Segura dan Hasherezade melihat lebih dekat modul uninstaller yang dikirimkan oleh penegak hukum yang dikendalikan ke server Emotet.

Setelah mengubah jam sistem pada mesin uji untuk memicu modul, mereka menemukan bahwa itu hanya menghapus layanan Windows yang terkait, kunci Registry autorun, dan kemudian keluar dari proses, meninggalkan semua yang lain di perangkat yang disusupi tidak tersentuh.

“Agar jenis pendekatan ini berhasil dari waktu ke waktu, penting untuk memiliki perhatian sebanyak mungkin pada pembaruan ini dan, jika mungkin, lembaga penegak hukum yang terlibat harus merilis pembaruan ini ke internet terbuka sehingga analis dapat memastikan tidak ada yang tidak diinginkan sedang diselipkan, “Marcin Kleczynski, CEO Malwarebytes, mengatakan kepada BleepingComputer.

“Meski begitu, kami melihat kejadian khusus ini sebagai situasi unik dan mendorong mitra industri kami untuk melihat ini sebagai peristiwa terisolasi yang membutuhkan solusi khusus dan bukan sebagai peluang untuk menetapkan kebijakan ke depan.”

Rutin uninstall emotet

Badan polisi federal Jerman di belakang modul uninstaller Emotet

Pada bulan Januari, ketika penegak hukum menjatuhkan Emotet, BleepingComputer diberi tahu oleh Europol bahwa badan polisi federal Bundeskriminalamt (BKA) Jerman bertanggung jawab untuk membuat dan mendorong modul pencopotan pemasangan.

“Dalam kerangka tindakan prosedural pidana yang dilakukan di tingkat internasional, Bundeskriminalamt telah mengatur agar malware Emotet dikarantina di sistem komputer yang terpengaruh,” kata Bundeskriminalamt kepada Bleepingcomputer.

Pada 28 Januari jumpa pers, Departemen Kehakiman AS (DOJ) juga mengonfirmasi bahwa Bundeskriminalamt mendorong modul uninstaller ke komputer yang terinfeksi Emotet.

“Penegak hukum asing, bekerja sama dengan FBI, mengganti malware Emotet di server yang terletak di yurisdiksi mereka dengan file yang dibuat oleh penegak hukum,” kata DOJ.

“File penegakan hukum tidak memulihkan malware lain yang sudah diinstal di komputer yang terinfeksi melalui Emotet; sebaliknya, ini dirancang untuk mencegah malware tambahan untuk diinstal di komputer yang terinfeksi dengan melepaskan komputer korban dari botnet.”

Penghapusan emotet tertunda karena mengumpulkan lebih banyak bukti

BleepingComputer diberitahu pada bulan Januari oleh Bundeskriminalamt bahwa penundaan dalam mencopot pemasangannya adalah untuk menyita bukti dan membersihkan mesin dari malware.

Identifikasi sistem yang terpengaruh diperlukan untuk menyita bukti dan untuk memungkinkan pengguna yang bersangkutan melakukan pembersihan sistem yang lengkap untuk mencegah pelanggaran lebih lanjut. Untuk tujuan ini, parameter komunikasi perangkat lunak telah disesuaikan sedemikian rupa sehingga sistem korban tidak lagi berkomunikasi dengan infrastruktur pelanggar tetapi dengan infrastruktur yang dibuat untuk penyitaan barang bukti. – Bundeskriminalamt

“Harap dipahami bahwa kami tidak dapat memberikan informasi lebih lanjut karena penyelidikan masih berlangsung,” kata Bundeskriminalamt kepada BleepingComputer ketika dimintai info lebih lanjut.

Ketika BleepingComputer menghubungi lagi untuk memberikan komentar tentang operasi hari ini, kami tidak menerima tanggapan.

FBI juga menolak berkomentar ketika ditanya minggu ini apakah operasi penghapusan Emotet dari perangkat yang berlokasi di AS masih direncanakan akan dilakukan pada Minggu, 25 April.

Awal bulan ini, FBI mengoordinasikan operasi yang disetujui pengadilan hapus kerangka web dari server Microsoft Exchange yang berbasis di AS disusupi menggunakan eksploitasi ProxyLogon tanpa memberi tahu pemilik server terlebih dahulu.

FBI mengatakan bahwa mereka hanya menghapus cangkang web dan tidak menerapkan pembaruan keamanan atau menghapus malware lain yang mungkin telah disebarkan oleh pelaku ancaman di server.





Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *