This post is also available in: Português
Botnet Emotet, um dos mais perigosos do mundo, é desmantelado após operação global entre autoridades.
Um dos memes mais famosos da internet usava a frase “parece que o jogo virou, não é mesmo?” para fazer humor com situações tidas como permanentes, mas que foram revertidas – com a vantagem mudando de lado. Agora, dentro de um viés repleto de seriedade, a frase praticamente ganhou vida no mundo real com a notícia de que um dos botnets mais perigosos do mundo foi inativado pelas autoridades.
Trata-se da infraestrutura construída por cibercriminosos usando o malware Emotet, que foi retirada do ar após uma ação coordenada internacionalmente pela Europol e pela Eurojust – órgão europeu focado em questões judiciais.
O esforço conjunto entre essas duas agências e autoridades da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia permitiu que os investigadores assumissem o controle dos servidores do botnet, interrompendo assim a operação do malware.
Após um esforço investigativo global, as entidades desativaram toda a infraestrutura do botnet, depois de ganharem o controle de seus servidores no início desta semana.
Rede versátil
A infraestrutura usada pelo Emotet envolvia várias centenas de servidores localizados em todo o mundo. Esses equipamentos possuíam diferentes funcionalidades para gerenciar os computadores das vítimas, bem como espalhar-se para novos dispositivos. Servia também outros grupos criminosos, e tornava a rede cada vez mais resistente a tentativas de desmantelamento.
Agora, os acessos às máquinas das vítimas foram redirecionados para a infraestrutura controlada pelos agentes da lei. Esta é uma abordagem única e nova para interromper efetivamente as atividades dos colaboradores de crimes cibernéticos.
As ações também envolveram prisões. O Departamento de Cibercrime da polícia ucraniana prendeu dois indivíduos suspeitos de estarem envolvidos na manutenção da infraestrutura da rede de bots, e enfrentarão 12 anos de prisão se forem considerados culpados.
Outros membros de um grupo de cibercriminosos, que utilizou a rede em questão, também foram identificados durante a força-tarefa, e seguirão sob investigação.
Emotet: perigoso e veloz
O malware Emotet foi identificado pela primeira vez em 2014, inicialmente como um Trojan bancário. Contudo, recebeu melhorias para se tornar o botnet usado pelo grupo cracker TA542 – também conhecido como Mummy Spider – para implantar cargas de malware de segundo estágio.
O Emotet instala o QakBot e o Trickbot, que implementam o ransomware Ryuk e o Conti – ambos na lista de mais destrutivos da atualidade. “A infraestrutura Emotet atuou essencialmente como um abridor de portas primário para sistemas de computador em uma escala global”, disse a Europol em um comunicado.
Uma vez que os acessos não autorizados fossem estabelecidos, eram vendidos a outros grupos criminosos de alto nível. Eles então implantavam outras atividades ilícitas, como roubo de dados e extorsão por meio de ransomwares.
O desmantelamento encabeçado pelas autoridades veio à tona pouco mais de um mês depois de uma pausa estratégica do Emotet – que provavelmente aconteceu como tentativa de despistar os agentes da lei.
O botnet foi “revivido” em 21 de dezembro, com a Microsoft detectando uma campanha que distribuía “uma ampla gama de iscas em grandes volumes de e-mails, o uso de respostas falsas ou e-mails encaminhados e anexos de arquivo protegidos por senha”, disse a empresa em um informativo.
Antes dessas “férias”, o Emotet tinha como alvo os governos estaduais e locais dos Estados Unidos, em campanhas potencialmente direcionadas, segundo divulgaram agências federais dos EUA em outubro passado. Na mesma época, o botnet Trickbot foi parcialmente interrompido após uma operação conjunta.
Notícias que trazem informações sobre a queda de cibercriminosos são especialmente positivas pelo fato de mostrar que a impunidade nesse “mercado” não é zero. Ainda que sejam raras as ações com esse grau de sucesso, elas carregam em si uma mensagem: o jogo pode virar.
This post is also available in: Português
