Policejním složkám několika států se podařilo rozkrýt a eliminovat infrastrukturu využívanou kyber zločinci k šíření malwaru Emotet a významným způsobem tak omezit jeho hrozbu. Emotet je známý především jako první fáze útoku, po které následuje infekce dalším škodlivým kódem (např. Trickbot nebo Ryuk). Trojice Emotet, Trickbot a Ryuk stála v roce 2019 za útoky na Nemocnici Rudolfa a Stefanie Benešov a těžební společnost OKD. NÚKIB kybernetické incidenty související s malwarem Emotet registroval po celý rok 2020.

Infrastruktura malwaru Emotet se skládala ze stovek serverů po celém světě a nyní je její provoz sledován policejními složkami a data o nakažených zařízeních budou sdílena s dalšími státy, včetně České republiky. NÚKIB tato data bude analyzovat a v případě pozitivního nálezu bude kontaktovat organizace s kompromitovanými zařízeními.

Na operaci se za koordinace Europolu a Eurojustu podílely policejní složky Nizozemska, Německa, Spojených států, Spojeného království, Francie, Litvy, Kanady a Ukrajiny.

Zároveň bychom rádi upozornili, že ačkoli jde vývoj v této kauze dobrým směrem, stále není opatrnosti nazbyt, protože hrozba zatím není zcela zažehnána a navíc nadále existují i jiné druhy malwaru.

NÚKIB před hrozbou malwaru EMOTET opakovaně varoval:

https://www.nukib.cz/cs/infoservis/hrozby/1478-varovani-o-hrozbe-emotet-trickbot-ryuk/   

https://www.nukib.cz/cs/infoservis/hrozby/1483-aktualizace-informaci-o-hrozbe-emotet-trickbot-ryuk/  

https://www.nukib.cz/cs/infoservis/hrozby/1638-upozorneni-na-zvysenou-aktivitu-malwaru-emotet/

Více o operaci a malwaru Emotet lze nalézt v infografice Europolu:

https://www.europol.europa.eu/sites/default/files/images/editor/emotet_infographic-01.jpg

Všechny konfiskované C&C všech generací Emotetu by měly zasílat payload: https://www.virustotal.com/gui/file/a9c68d527223db40014d067cf4fdae5be46cca67387e9cfdff118276085f23ef/detection

Který má nastaven odinstalaci Emotetu na 25.4.2021 12:00

Adresy sinkhole serverů:

80.158.3[.]161:443

80.158.51[.]209:8080

80.158.35[.]51:80

80.158.63[.]78:443

80.158.53[.]167:80

80.158.62[.]194:443

80.158.59[.]174:8080

80.158.43[.]136:80