จากหัวข้อเลยครับ คำตอบสำหรับคำถามนั้นยังคงเปิดอยู่ แต่เราคาดว่ามันอาจจะกลับมาในรูปแบบบางอย่าง “ใช่การลบ EMOTET ประสบความสำเร็จ” แต่ใครก็ตามในโลกแห่งการรักษาความปลอดภัยทางไซเบอร์จะบอกคุณว่ามัลแวร์มีพฤติกรรมที่จะปรากฏซ้ำด้วยวิธีที่ชาญฉลาดและคาดไม่ถึง ดังนั้นสิ่งเดียวกันนี้อาจเป็นจริงสำหรับBotnet EMOTET เช่นกัน
EMOTET คืออะไร?
เช่นเดียวกับมัลแวร์รูปแบบอื่น ๆ EMOTET เข้าถึงเซิร์ฟเวอร์ระยะไกลโดยใช้อีเมลเป็นเวกเตอร์การโจมตี บอทเน็ตของผู้โจมตี (ประกอบด้วยเหยื่อ EMOTET ที่ติดไวรัสก่อนหน้านี้) ส่งอีเมลสแปม / ฟิชชิ่งไปยังเหยื่อโดยส่วนใหญ่มักจะแนบไฟล์ Word หรือไฮเปอร์ลิงก์ ในกรณีของไฟล์แนบในหลาย ๆ ครั้งเอกสารนั้นถูกพรางราวกับว่าเป็นใบแจ้งหนี้หรือเอกสารที่เกี่ยวข้องกับ COVID-19 หากผู้รับเปิดเอกสาร Word พวกเขาจะได้รับแจ้งให้เปิดใช้งานการแก้ไขหรือเนื้อหา ซึ่งยังช่วยให้กลไกที่อนุญาตให้ผู้โจมตีติดตั้งไคลเอ็นต์โทรจัน / บอท EMOTET แบบเงียบ ๆ ลงในคอมพิวเตอร์ของเหยื่อ จากนั้นผู้โจมตีสามารถใช้ประโยชน์จากโทรจัน EMOTET เพื่อติดตั้งมัลแวร์เพิ่มเติมเช่น TrickBot และ Qbot ทำให้สามารถแพร่กระจายไปยังคอมพิวเตอร์และเซิร์ฟเวอร์อื่น ๆ ได้อย่างรวดเร็ว
เช่นเดียวกับบอทเน็ตอื่น ๆ EMOTET ช่วยให้ผู้ที่ควบคุมบอทเน็ต สามารถติดตั้งอะไรก็ได้ที่พวกเขาชอบบนเครื่องเหยื่อหรือใช้ทรัพยากรของอุปกรณ์ในบอทเน็ตในรูปแบบที่เป็นอันตราย (การปฏิเสธการให้บริการแบบกระจาย (DDoS)) การโจมตีทรัพยากร สแปมและฟิชชิง พร็อกซีสำหรับการเข้าชมที่เป็นอันตราย ฯลฯ ) โดยเฉพาะอย่างยิ่งเมื่อติดตั้ง EMOTET แล้วจะทำหน้าที่เป็นตัวโหลดมัลแวร์ที่ผู้ดูแลบอทสามารถประมูลไปยังอาชญากรไซเบอร์รายอื่นได้ นี่คือสิ่งที่ผู้เลี้ยงบอท EMOTET ทำโดยขายการเข้าถึงอุปกรณ์ที่ตกเป็นเหยื่อให้กับผู้ประมูลบุคคลที่สามที่ติดตั้งโปรแกรมที่เป็นอันตรายอื่น ๆ เช่น ransomware วิธีที่ EMOTET ใช้เป็นแพลตฟอร์มการติดตั้งเพื่อเผยแพร่มัลแวร์อาชญากรรมหลายประเภทอย่างกว้างขวางคือสิ่งที่ทำให้เกิดขึ้น ตามที่ Europol กล่าวนี่เป็นหนึ่งในภัยคุกคามที่ทนทานและอันตรายที่สุดในยุคนั้น
เกิดอะไรขึ้นในวันที่ 27 มกราคม 2021
เมื่อวันที่ 27 มกราคมความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายจากเยอรมนี เนเธอร์แลนด์สหรัฐอเมริกา สหราชอาณาจักร ลิทัวเนีย ฝรั่งเศส ยูเครนและแคนาดาทำให้โครงสร้างพื้นฐานของคำสั่งและการควบคุม (C2) ของมัลแวร์ขัดข้อง
- เมื่อผู้บังคับใช้กฎหมายเข้าควบคุมโครงสร้างพื้นฐาน C2 ที่ใช้ในการส่งคำสั่งไปยังบอทเน็ต (ในวันที่ 25 มีนาคม 2564) พวกเขาใช้คำสั่งของบอทเน็ตเพื่อแจกจ่ายโมดูลที่ถอนการติดตั้ง EMOTET โดยพื้นฐานแล้วการทำเช่นนี้จะลบไคลเอ็นต์บอทออกจากเครื่องเหยื่อและนำออกจากบอทเน็ตทำให้ยากมากสำหรับผู้โจมตีที่จะกลับมาควบคุมได้โดยไม่ต้องติดเครื่องใหม่ตั้งแต่ต้น
- โครงสร้างพื้นฐานของ EMOTET ประกอบด้วยเซิร์ฟเวอร์หลายร้อยเครื่องที่ตั้งอยู่ทั่วโลกพร้อมด้วยฟังก์ชันต่างๆในการจัดการคอมพิวเตอร์ที่ติดไวรัส เจ้าหน้าที่มีแนวโน้มที่จะต้องใช้อำนาจในพื้นที่ของตนในฐานะผู้บังคับใช้กฎหมายเพื่อบังคับให้ ISP บริษัท โฮสติ้งและอื่น ๆ เพื่อให้พวกเขาเข้าถึงเซิร์ฟเวอร์ที่เป็นอันตรายในโครงสร้างพื้นฐานของตน
นอกจากการรื้อโครงสร้างพื้นฐานแล้วกรม Cyberpolice ของยูเครนได้จับกุมบุคคล 2 คนที่เชื่อว่ามีส่วนเกี่ยวข้องกับการบำรุงรักษาโครงสร้างพื้นฐานของบอทเน็ตและอาจถูกจำคุก 12 ปีหากพวกเขาถูกตัดสินว่ามีความผิด นอกจากนี้ยังมีการระบุ บริษัท ในเครืออื่น ๆ ของกลุ่มอาชญากรรมไซเบอร์ที่ใช้โครงสร้างพื้นฐาน กำลังนำมาตรการเข้าจับกุมพวกเขา
ควรทำอย่างไรต่อไป?
แม้ว่าบอทเน็ต EMOTET จะถูกลบออกไป แต่คุณควรเสริมสร้างความปลอดภัยปลายทางของคุณเพื่อป้องกันการติดเชื้อประเภทนี้!
การล้มโครงสร้างพื้นฐานของ EMOTET ถือเป็นชัยชนะครั้งสำคัญ เจ้าหน้าที่ที่ควบคุมบอทเน็ตอาจแสดงถึงการหยุดชะงักที่สำคัญซึ่งน่าจะทำให้ตัวแปร EMOTET ในปัจจุบันกลับมาทำงานได้ตามปกติ ข้อมูล WatchGuard แสดงให้เห็นว่าโครงสร้างพื้นฐานของ EMOTET หยุดชะงัก
อย่างไรก็ตามแม้จะมีสัญญาณว่า EMOTET กำลังประสบปัญหาในการกลับมา แต่บอทเน็ตอื่น ๆ ที่หยุดชะงักในอดีตก็สามารถกู้คืนได้แม้จะพยายามร่วมกันในการกำจัด ในความเป็นจริงทุกวันนี้ 97% ของมัลแวร์ใช้เทคนิคโพลีมอร์ฟิกบางประเภทตามที่นักวิเคราะห์ของ WatchGuard กล่าว บางตัวเป็นที่รู้จักกันดีในชื่อ Cryptolocker หรือแม้แต่ Wannacry ransomware แต่ความจริงที่เกี่ยวข้องมากที่สุดก็คือพวกเขาสามารถมีระดับความซับซ้อนและการเข้ารหัสที่แตกต่างกันในรหัสของพวกเขาและรหัสที่ซับซ้อนที่สุดเช่น EMOTET อาจเป็นเรื่องยากที่จะตรวจจับโดยโซลูชันการรักษาความปลอดภัยปลายทางแบบเดิม นอกจากนี้มัลแวร์หลายสายพันธุ์เหล่านี้ยังแชร์ซอร์สโค้ดบางส่วนที่เคยรั่วไหลในมัลแวร์ใต้ดิน โค้ดบางส่วนของ EMOTET มาจากบอทเน็ตรุ่นก่อนหน้านี้รวมถึงซอร์สโค้ด Zbot รุ่นเก่าที่รั่วไหลเมื่อนานมาแล้ว กล่าวโดยสรุปบอทเน็ตมักจะกลับมาในรูปแบบอื่นๆ และบางครั้งบอทเน็ตรูปแบบใหม่ที่คุ้นเคยก็กลับมาภายใต้การควบคุมของนักคุกคามคนใหม่
ในขณะที่เราเฉลิมฉลองและยกย่องการชนะนี้จากหน่วยงานระดับโลกเราขอแนะนำให้คุณยังคงระมัดระวังต่อบอทเน็ต เพื่อป้องกันการกลับมาของบอทเน็ต EMOTET และการโจมตีอื่น ๆ ที่คล้ายคลึงกัน WatchGuard แนะนำให้มีการฝึกอบรมพนักงานเกี่ยวกับการระบุอีเมลฟิชชิ่ง คุณยังสามารถใช้ผลิตภัณฑ์ WatchGuard ต่างๆเช่น DNSWatch หรือแอนติมัลแวร์บนเครือข่ายเพื่อทำให้ลิงก์และไฟล์แนบที่พบในอีเมลนี้เสื่อมเสียไปบ้างเป็นอย่างน้อย
สิ่งสำคัญที่สุดคือคุณต้องมีการป้องกันปลายทางที่แข็งแกร่ง ไม่ว่าคุณจะเพิ่มชั้นความปลอดภัยแบบใดก็ตามภัยคุกคามบางอย่างจะหาทางเข้าสู่คอมพิวเตอร์ของพนักงานของคุณ ชุดป้องกันปลายทางเต็มรูปแบบ (EPP) เช่น Panda Adaptive Defense 360 (AD360) สามารถปกป้องคุณได้หลายวิธี ตัวอย่างเช่นคุณต้องอัปเดตระบบปฏิบัติการ (OS) และซอฟต์แวร์เพื่อแก้ไขช่องโหว่ซึ่ง AD360 ทำเพื่อคุณด้วย Panda Patch Management นอกจากนี้ Panda Full Encryption ยังช่วยลดการเปิดเผยข้อมูลต่อผู้คุกคามโดยการเข้ารหัสข้อมูลปลายทางของคุณ สุดท้าย AD360 มีการระบุและการป้องกันมัลแวร์หลายชั้นซึ่งสามารถป้องกันมัลแวร์ที่หลบเลี่ยงได้เช่น EMOTET ออกจากระบบของคุณ
เพื่อแสดงให้เห็นถึงสิ่งนี้ อินโฟกราฟิกนี้แสดงให้เห็นถึงลักษณะของการโจมตีแบบ EMOTET และวิธีที่ Panda Adaptive Defense 360 และแนวทางการป้องกันหลายชั้นต่อสู้กับบอทเน็ตนี้และภัยคุกคามที่ซับซ้อนอื่น ๆ อีกมากมาย แนวป้องกันสุดท้ายคือบริการแอปพลิเคชัน Zero-Trust ซึ่งหลีกเลี่ยงการทำงานของมัลแวร์ ทุกแอปพลิเคชันที่พยายามเรียกใช้จะถูกจัดประเภทโดยบริการที่ใช้ AI นี้ในระบบคลาวด์เป็นอันดับแรกทันที ดังนั้นเฉพาะแอปพลิเคชันที่ถูกต้องเท่านั้นที่สามารถทำงานได้และมัลแวร์จะถูกบล็อกเสมอ
ลักษณะของการโจมตี EMOTET และวิธีที่ Panda AD360
และวิธีการป้องกันหลายชั้น
ออพติมุสเราพร้อมให้คำปรึกษาแก่หน่วยงานที่ต้องการคำแนะนำในเรื่องโซลูชั่นด้านความปลอดภัยให้เหมาะสมกับหน่วยงานของท่านติดต่อแผนก Marketing
Tel : 02-2479898 ต่อ 87
Email : [email protected]
เรียบเรียงเป็นภาษาไทยโดย : คุณ ณัฏฐ์ วงศ์ยุตติธรรม
