Conheça o grupo white hat que luta contra o Emotet, o malware mais perigoso do mundo

Por mais de um ano, um grupo de pesquisadores de segurança e administradores de sistemas se uniram para combater o Emotet, a operação de malware mais ativa e perigosa de hoje. Conheça o grupo white hat Cryptolaemus que luta contra o Emotet, o malware mais perigoso do mundo. O grupo dificultou seriamente as operações da Emotet. Diariamente, o grupo publica atualizações em seu site e conta no Twitter.

Eles compartilham os chamados indicadores de compromisso (COI). Isso inclui endereços IP para servidores de comando do Emotet, linhas de assunto usadas em campanhas de spam do Emotet e hashes de arquivo para arquivos infectados pelo Emotet.

Os membros do Cryptolaemus compartilham esses detalhes para que os administradores de sistemas e redes em todo o mundo possam importar os IOCs em seus produtos de segurança cibernética e proteger contra possíveis infecções por Emotet, ou ajudar com detecções precoces antes que o malware possa causar danos extensos.

Pessoalmente, só quero ajudar as pessoas e acabar com essa ameaça, disse Joseph Roosen, um dos membros do Cryptolaemus. Quando o Emotet infectou minha rede no meu trabalho diário em novembro de 2017, foi interrompido por termos um esquema de VLAN bastante robusto e, portanto, o movimento foi isolado e mais fácil de limpar, disse Roosen. Porém, a experiência mudou minha vida e me irritou ao mesmo tempo.

EMOTET – DO TROJAN BANCÁRIO AO IMPÉRIO DO CIBERCRIME

O motivo da raiva de Roosen foi o Emotet, um nome que descreve tanto uma variedade de malware quanto a operação criminosa por trás dela. Emotet apareceu online em 2014. Começou suas operações como um cavalo de Troia bancário. Os cavalos de Troia bancários estavam todos na moda em meados de 2010.

O Emotet infectaria uma vítima, se escondia em um sistema até que o usuário acessasse sua conta bancária, para roubar suas credenciais. Não era incomum que o grupo Emotet acessasse a conta bancária e roubasse fundos.

Porém, em 2014, os bancos já enfrentavam trojans bancários como Emotet há mais de uma década e estavam começando a implantar medidas antifraude. Os sistemas de autenticação multifatorial, a proteção geográfica de IP e os alertas de transações dificultaram muito o roubo de fundos da conta bancária de alguém, sem o conhecimento deles.

A transformação

A gangue Emotet viu o futuro e, em  2016, eles se tornaram uma das primeiras operações importantes de trojan bancário a se transformar em outra coisa. Durante 2016 e o ano seguinte, em 2017, o Emotet substituiu lentamente a maior parte de sua base de código e se transformou de um trojan bancário em um carregador de malware.

Um “carregador” é uma variedade de malware incrivelmente simplista. Ele infecta uma vítima e baixa (ou carrega) outro malware. O Emotet baixava seus próprios módulos ou baixava o malware de outra pessoa.

Basicamente, o Emotet mudou todo o seu modo de operação em apenas dois anos, de um grupo fechado que roubou dinheiro das contas bancárias de pessoas, para um grupo aberto que permitiu que outras gangues de malware alugassem acesso a computadores infectados em todo o mundo.

Atualmente, o Emotet é uma das maiores operações criminosas do mercado. É efetivamente um império de crimes cibernéticos. Eles são tão grandes que outros “loaders” – como o TrickBot – alugam acesso à sua enorme rede de computadores infectados.

Ransomware, cripto-mineradores, ladrões de informações e trojans bancários foram vistos sendo plantados em hosts infectados pelo Emotet.

Este é o maior perigo cibernético

Atualmente, uma infecção pelo Emotet significa muito mais do que muitas outras infecções por malware. Uma infecção pelo Emotet geralmente significa que o Emotet também expandiu seu alcance do ponto inicial de entrada para toda a sua rede.

O Emotet agora vem com uma infinidade de módulos que permitem que ele se espalhe dentro de uma rede, uma vez que se coloca dentro dela. Suas ferramentas de movimentação são tão avançadas que agora são pioneiras em um novo método de disseminação via conexões Wi-Fi, algo que não é visto em nenhuma outra operação de malware.

Emotet é um teste decisivo para a comunidade infosec (segurança da informação). Se um pesquisador de segurança está minimizando uma infecção pelo Emotet, provavelmente perdeu o contato com o que há no mundo do malware. Todos os bons pesquisadores de segurança dirão que o Emotet é uma das infecções mais perigosas que você pode ter, ao lado do TrickBot, outra operação semelhante de trojan bancário que virou downloader.

As autoridades da Alemanha e da Holanda atualmente tratam o Emotet da mesma forma que os ataques de ransomware. Quando uma empresa é infectada pelo Emotet, as autoridades de cibersegurança nesses dois países dizem à empresa vítima que desligue toda a sua rede e a retire imediatamente da Internet. As infecções por Emotet deixadas sem resposta acabam se transformando em violações de dados e infecções por ransomware.

REUNINDO-SE PARA COMBATER EMOTET

Foi em junho de 2018 que surgiu a ideia de um grupo anti-Emotet. Em um bate-papo em grupo no Twitter, um administrador de sistema com sede nos EUA chamado JayTHL perguntou: “Algum interesse em um grupo de trabalho dedicado ao Emotet?”

Quase todos no bate-papo disseram que sim.

Antes que você perceba, estamos conversando diariamente sobre TTPs Emotet (táticas, técnicas e procedimentos) e compartilhando informações, disse Roosen à ZDNet em entrevista. Eventualmente, depois que as coisas começaram, começamos a adicionar mais membros e fizemos um esforço conjunto para publicar nossas IoCs, em vez de fazê-las como itens individuais fragmentados, acrescentou Roosen.

Foi assim que um grupo formal surgiu. Quando se tratava de nomeá-lo, eles tinham o título perfeito.

Esse nome – Cryptolaemus – é baseado no gênero de besouros que são conhecidos como ‘destruidores de Mealybug, disse Roosen. No verão de 2018, a Symantec publicou um blog sobre ameaças, alegando que o nome dos atores do Emotet era ‘Mealybug”, disse Roosen.

Nenhum de nós tinha ouvido falar disso antes e quebrado a cabeça de onde isso veio. Logo se tornou uma piada para nós que éramos os destruidores de Mealybug (s) e, assim, o nome Cryptolaemus nasceu.

A idéia do nome Cryptolaemus veio de um pesquisador de segurança no Twitter por @ps66uk, um biólogo treinado, mostrando a diversidade do grupo.

Agora, a equipe do Cryptolaemus lista mais de 20 membros em seu site. Porém, suas fileiras são muito maiores. Muitos não podem divulgar sua afiliação ao grupo devido a acordos de não divulgação que assinaram. Alguns trabalham como administradores de TI para grandes corporações, enquanto outros trabalham em empresas de segurança cibernética. A maioria trabalha em contratos que não permitem compartilhar informações de ameaças livremente na Internet.

Para acabar com o Emotet, uma passo de cada vez

Eles estão fazendo isso porque querem ver o Emotet desligado e sua mente – um indivíduo conhecido apenas como Ivan – atrás das grades.

Porém, derrubar Emotet não é uma tarefa fácil. O Emotet é uma das operações de malware mais sofisticadas conhecidas até o momento. Ele opera a partir de três botnets distintos, e não apenas um, criados pelo mesmo motivo – para dificultar as quedas.

Além disso, acredita-se que Ivan reside na Rússia, um país que não foi muito chegado em ajudar a derrubar as operações locais de crimes cibernéticos.

Eu adoraria se eles fossem presos, mas se eles desistirem, também ficarei feliz, disse James Quinn, analista de malware da Binary Defense e membro do Cryptolaemus.

Fazer Emotet e Ivan desistirem é o que os membros do Cryptolaemus têm em mente. A maioria sabe que uma prisão ou remoção está longe.

Em vez disso, eles esperam que, compartilhando os COIs diários do Emotet, possam reduzir a taxa de infecção do Emotet e os lucros de Ivan.

No momento, os membros do Cryptolaemus têm reuniões regulares nos canais Slack e Telegram, onde discutem novas maneiras de impedir o Emotet. Alguns gastam seu tempo fazendo a engenharia reversa do malware do Emotet, outros rastreiam os servidores de comando e controle da botnet, enquanto outros quebram a criptografia e outros protocolos relacionados ao Emotet.

Seus esforços não passaram despercebidos. Hoje, o trabalho do grupo é frequentemente seguido de perto por empresas policiais e de segurança cibernética. Mas o maior fã de Cryptolaemus é a própria gangue Emotet.

Tenho certeza de que eles estão cientes e estão lendo nossos relatórios diários, disse Roosen.

Nós os vimos mudar de tática minutos depois de nossas postagens, com frequência suficiente para que seja mais do que simples coincidência. Tenho certeza de que eles fazem parte de muitos que lêem nossas postagens assim que são publicadas, acrescentou o pesquisador.

Até brincamos que agora eles estão chamando as três redes de bots como época 1, época 2 e época 3 internamente [com base nos nomes que lhes atribuímos].

UM IMPASSE

No momento, a luta entre Cryptolaemus e Emotet parece ser um empate; no entanto, os esforços do grupo são amplamente apreciados e respeitados na comunidade infosec, onde, lenta mas seguramente, os membros do grupo se tornaram especialistas de fato em Emotet, cujas opiniões são sempre muito valorizadas.

Mas, embora o grupo Cryptolaemus possa nunca ter realizado o desejo de ver Ivan algemado, o grupo ainda está muito feliz com o resultado.

Honestamente, ver a quantidade de cooperação no grupo é muito legal, porque alguns de nós literalmente trabalham para concorrentes diretos um do outro, mas ainda podemos trabalhar juntos e promover os COI, o que é raro ver na indústria, disse Quinn.

Aprendo algo novo a cada dia e estou ajudando o mundo, disse Roosen. Para mim, é uma situação em que todos saem ganhando! Estou realmente emocionado com as pessoas que nos procuram explicando como as ajudamos em suas batalhas com Emotet.

Acho que tivemos algumas vitórias menores nessa luta com os atores do Emotet, mas nossa maior realização individual é a colaboração aberta e o compartilhamento entre diferentes entidades do setor, acrescentou Roosen.

Como somos vistos como um partido neutro, as pessoas trabalharão juntas conosco mais livremente e, por meio dessa colaboração, realizamos grandes coisas juntos.

ZDNet