Ir para o conteúdo principal
resources

O que é o Emotet?

O Emotet é um malware de computador, originalmente desenvolvido na forma do chamado trojan bancário. Seu objetivo era penetrar nos dispositivos de pessoas e espionar seus dados confidenciais. O Emotet é capaz de ludibriar e ocultar-se de programas antivírus comuns. Após o dispositivo ser infectado, o malware se espalha como um worm de computador e tenta se infiltrar em outros computadores da rede.

O Emotet é difundido principalmente por e-mails de spam. Esses e-mails contêm um link malicioso ou um documento infectado. Se você baixar o documento ou abrir o link, outros malwares serão baixados automaticamente para o seu computador. Os e-mails têm realmente a aparência de serem autênticos.

O termo Emotet

O Emotet foi detectado pela primeira vez em 2014, quando clientes de bancos alemães e austríacos foram afetados pelo trojan. O malware obtinha acesso aos dados de login dos clientes. Nos anos seguintes, difundiu-se em todo o mundo.

Desde então, o Emotet evoluiu de um trojan bancário para um dropper, ou seja, um trojan carregado de malwares. Os malwares, por sua vez, são os responsáveis pelos verdadeiros danos causados a sistemas. Na maioria dos casos, envolve os seguintes programas:

  • TrickBot: um trojan bancário que tenta obter acesso aos dados de login de contas bancárias.
  • Ryuk: um trojan de criptografia, também conhecido como criptotrojan ou ransomware, que criptografa dados, impedindo o usuário do computador de acessá-los ou bloqueando todo o sistema.

O objetivo dos cibercriminosos por trás do Emotet é frequentemente extorquir dinheiro de suas vítimas. Por exemplo, eles ameaçam publicar os dados criptografados ou simplesmente jamais devolvê-los. Geralmente, Emotet refere-se ao processo de infecção como um todo, o download adicional do malware e sua distribuição.

Quem são os alvos do Emotet?

Indivíduos, empresas, organizações e instituições públicas. Em 2018, o centro clínico Fürstenfeldbruck teve que desligar 450 computadores e desconetá-los do centro de coordernação de emergência após uma infecção com o Emotet. Em setembro de 2019, a Corte de Berlin “Kammergericht” foi afetada, seguida pela Universidade de Giessen em dezembro do mesmo ano.

A Facultade de Medicina de Hannover e a prefeitura de Frankfurt am Main também foram infectadas pelo Emotet. Estima-se que a quantidade de empresas infectadas seja muito maior. Presume-se que muitas empresas afetadas não quiseram divulgar o ocorrido, temendo dandos à reputação e atrair mais ataques.

Embora no início do Emotet muitas empresas tenham sido os alvos, o trojan agora mira principalmente em indivíduos.

Quais dispositivos estão em risco com o Emotet?

Inicialmente, as infecções pelo Emotet só foram detectadas em versões mais recentes do sistema operacional Microsoft Windows. No entanto, no início de 2019, descobriu-se que computadores Apple também havia sindo infectadas pelo trojan. Os criminosos atraíram usuários para uma armadilha de falso suporte da Apple, afirmando que a empresa tinha “acesso restrito à conta do cliente”. O e-mail também informava aos usuários que eles deviam seguir um link para evitar a desativação e exclusão de determinados serviços Apple.

Como o trojan Emotet se espalha

O Emotet é distribuído principalmente pelo chamado cultivo no Outlook. O trojan lê os e-mails de usuários já afetados e cria conteúdo com aparência de autêntico. Esses e-mails parecem legítimos e pessoais, sendo portanto diferentes de e-mails de spam comuns. O Emotet encaminha tais e-mails de phishing para contatos salvos, ou seja, amigos, familiares, colegas de trabalho ou até seu chefe.

Geralmente, os e-mails contêm um documento Word infectado que deve ser baixado ou um link perigoso. O nome correto é sempre exibido como o remetente. Os destinatários são ludibriados pela falsa sensação de segurança, pois o e-mail parece normal, vindo de uma pessoa conhecida. Portanto, proavelmente, eles irão clicar no link perigoso ou abrir o anexo infectado.

O Emotet pode se espalhar após ter acesso à rede. Ao fazer isso, o trojan tenta usar o método de força bruta para quebrar senhas de contas. Outras maneiras pelas quais o Emotet tem se espalhado incluem a falha de segurança EternalBlue e a vulnerabilidade DoublePulsar no Windows, que permitiam a instalação de malware sem intervenção humana. Em 2017, o trojan de extorsão WannaCry utilizou o exploit EternalBlue para causar um grave ciberataque devastador.

Emotet: infraestrutura do malware desbaratada

Ao final de janeiro de 2021, A promotoria plública de Frankfurt am Main o órgão central de combate aos crimes da internet (CIT) e o Departamento Federal Investigação Criminal (FCO) anunciou que a infraestrutura do Emotet havia sido “capturada e destruída”, como parte de um esforço orquestrado internacionalmente. Organismos de combate ao crime da Alemanha, Holanda, Ucrânia, França e Lituânia, bem como do Reino Unido, Canadá e EUA, participaram da operação.

Esses órgãos afirmam que foram capazes de desativar mais de 100 servidores da infraestrutura Emotet, 17 deles somente na Alemanha. Esse foi o início da trilha. O FCO coletou dados e após análises detalhadas, localizou mais servidores em toda a Europa.

De acordo com o órgão, a infraestrutura do malware Emotet foi desbaratada, tornando-se inofensiva. As autoridades da Ucrânia foram capazes de capturar a infraestrutura e também apreender diversos computadores, discos rígidos, dinheiro em espécie e barras de ouro. Toda a operação foi coordenada pela Europol e a Eurojust, uma agência europeia de cooperação do judiciário em casos criminais.

Ao assumir o controle da infraestrutura do Emotet, as autoridades conseguiram inutilizar o malware que afetava sistemas de vítimas na Alemanha. Para impedi-los de reobter o controle, as forças-tarefa colocaram o malware nos sistemas afetados das vítimas em quarentena. Além disso, eles ajustaram os parâmetros de comunicação do software para que possa se comunicar com uma infraestrutura especialmente configurada, exclusivamente para preservar a evidência. No processo, as autoridades obtiveram informações sobre os sistemas afetados das vítimas, como endereços IP públicos. Essas informações foram transmitidas ao BSI.

Quem está por trás do Emotet?

O Departamento Federal de Segurança da Informação (FIS) acredita que “os desenvolvedores do Emotet sub-locam o software a infraestrutura para terceiros. Esses, por sua vez, empregam um malware adicional para perseguir seus próprios objetivos. O BSI acredita que as motivações dos criminosos são financeiras e que o cibercrime é a principal questão, em vez de espionagem.

Ninguém parece ter, no entanto, uma resposta para quem está por trás disso. Rumores indicam que tem raízes na Rússia ou Europa do Leste, mas não há evidências sólidas que embasem essa suspeita.

Emotet: um malware altamente destruidor

O Departamento Norte-Americano de Segurança Interna concluiu que se trata de um software especialmente oneroso e com enorme poder destrutivo. O custo da limpeza é estimado em cerca de um milhão de dólares por incidente. Por essa razão, Arne Schönbohm, chefe do Departamento Federal de Segurança da Informação (FIS), chama o Emotet de “rei dos malwares”,

sendo, sem dúvida, um dos malwares mais complexos e perigosos da história. É um malware polimórfico, o que significa que seu código muda um pouco, cada vez que é acessado. Isso torna difícil para o software antivírus identificá-lo: muitos programas de AVI realizam pesquisas baseadas em assinaturas. Em fevereiro de 2020, pesquisadores de segurança da Binary Search descobriram que o Emotet agora também atacando as redes Wi-Fi. Se um dispositivo infectado estiver conectado a uma rede sem fio, o Emotet verifica todas as redes sem fio nas proximidades. Usando uma lista de senhas, o vírus tenta obter acesso às redes e infectar outros dispositivos.

Os cibercriminosos gostam de explorar o sentimento de medo da população. Portanto, não é de surpreender que o medo da COVID-19, que circula pelo mundo desde dezembro de 2019, também esteja sendo explorado pelo Emotet. Os cibercriminosos por trás do trojan geralmente usam e-mails de spoofing que alegam oferecer informações sobre a COVID-19 e informar a população. Portanto, se você se deparar com esse tipo de e-mail, tenha cuidado extra com quaisquer anexos ou links na mensagem!

Como posso me proteger do Emotet?

Quando se trata de se proteger contra o Emotet e outros trojans, não basta apenas confiar apenas em programas antivírus. Afinal, detectar malware polimórficos é apenas parte do problema para os usuários finais. Dito de maneira simples, não há solução que ofereça 100% de proteção contra o Emotet ou qualquer trojan mutante. Medidas preventivas técnicas e organizacionais por si só podem minimizar o risco de infecção. Essas precauções devem ser tomadas para que você se proteja contra o Emotet:

  • esteja sempre alerta! Mantenha-se sempre a par das informações mais recentes sobre o assunto. Há várias maneiras de fazer isso, como assinar a newsletter do BSI, nossa newsletter Kaspersky ou ao fazer sua própria pesquisa.
  • Atualizações de segurança: certifique-se de instalar as atualizações fornecidas pelos fabricantes o mais breve possível, para elimintar qualquer possibilidade de vulnerabilidades à segurança. Isso se aplica a sistemas operacionais, como Windows e macOS, bem como a quaisquer programas de aplicativos, navegadores, complementos de navegador, programas de e-mail, programas do Office e programas de PDF.
  • Software antivírus: certifique-se de instalar um programa de antivírus como o Kaspersky Internet Security e verifique seu computador periodicamente para buscar vulnerabilidades. Isso proporcionará a melhor proteção possível contra os mais recentes vírus, spyware e outras ameaças online.
  • Não baixe anexos duvidosos de e-mails nem clique em links suspeitos. Se não tiver certeza da autenticidade de um e-mail, não assuma riscos, contate o suposto remetente! Se receber uma solicitação para executar uma macro ao baixar um arquivo, não o faça, sob nenhuma circunstância. Em vez disso, exclua a mensagem imediatamente. Assim, você não dará ao Emotet uma chance de se infiltrar no seu computador em primeiro lugar.
  • Backups: Faça backup de seus dados periodicamente em um provedor de armazenamento de dados externo. No caso de uma infecção, você sempre terá um backup ao qual recorrer e não perderá todos os dados do seu dispositivo.
  • Senhas: use apenas senhas fortes para todos os logins (banco, conta de e-mail, lojas online). Em outras palavras, em vez de usar o nome do seu cachorro, use uma combinação aleatório de letras, números e caracteres especiais. Você pode inventar uma ou gerá-la usando programas como gerenciadores de senhas. Além disso, muitos programas fornecem a opção de autenticação de dois fatores.
  • Extensões de arquivo: certifique-se de que as extensões de arquivo são exibidas no computado por padrão. Isso ajudará a reconhecer arquivos duvidosos, como “clique de ferias 123.jpg.exe”

Como posso remover o Emotet?

Primeiro de tudo: se suspeitar que seu PC foi infectado com o Emotet, não entre em pânico! Informe às pessoas próximas sobre a infecção, pois seus contatos de e-mail e outros dispositivos conectados à sua rede estão potencialmente em risco.

Em seguida, certifique-se de isolar o computador, caso esteja conectado a uma rede, para reduzir o risco de propagação do Emotet. Você deve então alterar todos os dados de acesso às suas contas, ou seja, e-mail, navegador da web etc.

Como o malware Emotet é polimórfico e o código sempre se altera ligeiramente a cada vez que é acessado, um computador desinfectado pode ser rapidamente infectado, tão logo se reconecte à rede ainda infectada. Portanto, você deve limpar todos os computadores conectados à rede, um após o outro. Use um programa antivírus para ajudar nessa tarefa. Você também pode contatar um especialista, como o provedor de software antivírus.

EmoCheck: essa ferramenta realmente ajuda contra o Emotet?

O CERT japonês (Equipe de Resposta à Emergências Computacionais) publicou a ferramenta EmoCheck, que você pode usar para verificar se há infecções do Emotet na sua máquina. Dica: use a ferramenta para detectar uma possível infecção por versões conhecidas do Emotet. No entanto, tenha cuidado! Como o Emotet é polimórfico, o EmoCheck não pode garantir com 100% de certeza que o computador não está infectado. O EmoCheck usa o método de strings de caráter de reconhecimento, alertando sobre o trojan. No entanto, a multabilidade do malware significa que não há garantias de que seu computador está realmente limpo.

Um resumo do Emotet

O trojan Emotet é um dos malware mais perigoso da história da TI. Todos são afetados: indivíduos, empresas e até mesmo órgãos públicos. Após o trojan se infiltrar no sistema, carrega outros malwares que espionam o acesso a dados de credenciais e os criptografam. Muitas vezes, as vítimas do malware são chantageadas a fazer o pagaments de resgate para poderem recuperar os dados. Infelizmente, não existe uma solução que forneça 100% de proteção contra uma infecção do Emotet. No entanto, adotando várias medidas, você pode controlar o risco de infecção. Se suspeitar que seu computador está infectado com Emotet, você deve iniciar as medidas acima para limpar seu computador.

Essas soluções de segurança oferecem proteção contra trojans, vírus e ransomware:

Kaspersky Internet Security

Kaspersky Total Security

Kaspersky Security Cloud

Artigos relacionados:

Ransomware LockBit: o que você precisa saber

Os 10 hackers mais famosos de todos os tempos

Ransomware: definição, prevenção e remoção

O que é o Emotet?

O perigoso trojan Emotet tornou-se uma dor de cabeça para os administradores. Saiba como reconhecer o vírus, proteger seus sistemas e removê-lo de computadores.
Kaspersky Logo