Emotet: Qual a melhor forma de se proteger do cavalo de Troia

O que é o Emotet?

O Emotet é um programa malware de computador originalmente desenvolvido na forma de um cavalo de Troia bancário. O objetivo era acessar dispositivos externos e espionar dados particulares sigilosos. O Emotet é conhecido por enganar programas antivírus básicos e se esconder deles. Uma vez infectado, o malware se espalha como um worm de computador e tenta se infiltrar em outros computadores da rede.

O Emotet se espalha principalmente por e-mails de spam. O respectivo e-mail contém um link malicioso ou um documento infectado. Se você baixar o documento ou abrir o link, será feito download de outros malwares automaticamente para o seu computador. Esses e-mails foram criados para parecer muito autênticos, e muitas pessoas foram vítimas do Emotet.

Emotet - termo e definição

O Emotet foi detectado pela primeira vez em 2014, quando clientes de bancos alemães e austríacos foram afetados pelo cavalo de Troia. O Emotet obteve acesso aos dados de login dos clientes. Nos anos seguintes, o vírus se espalharia globalmente.

O Emotet evoluiu de um cavalo de Troia bancário para um Dropper, o que significa que o cavalo de Troia recarrega malware nos dispositivos. São eles, então, os responsáveis pelos danos reais ao sistema.

Na maioria dos casos, os seguintes programas foram "jogados":

Trickster (também conhecido como TrickLoader e TrickBot): Um cavalo de Troia bancário que tenta obter acesso aos dados de login de contas bancárias.
Ryuk: Um cavalo de Troia de criptografia, também conhecido como Cryptotrojan ou Ransomware, criptografa os dados e, assim, impede o usuário do computador de acessar esses dados ou todo o sistema.

O objetivo dos criminosos virtuais por trás do Emotet é frequentemente o de extorquir dinheiro de suas vítimas. Por exemplo, eles ameaçam publicar ou liberar os dados criptografados aos quais têm acesso.

Quem é o alvo do Emotet?

O Emotet tem como alvo indivíduos, bem como empresas, organizações e autoridades. Em 2018, depois de ser infectado pelo Emotet, o Hospital Fuerstenfeldbruck, na Alemanha, teve que desligar 450 computadores e se desconectar do centro de controle de resgate para tentar controlar a infecção. Em setembro de 2019, o Tribunal de Apelações de Berlim foi afetado e, em dezembro de 2019, a Universidade de Giessen. A Universidade Médica de Hannover e a administração da cidade de Frankfurt am Main também foram infectadas pelo Emotet.

Estes são apenas alguns exemplos de infecções por Emotet, estima-se que o número não divulgado de empresas afetadas seja muito maior. Também se presume que muitas empresas infectadas não quiseram relatar sua violação por medo de prejudicar sua reputação.

Também vale a pena considerar que, embora no início o Emotet visasse principalmente empresas e organizações, o cavalo de Troia agora tem como alvo principal indivíduos privados.

Quais dispositivos estão em risco com o Emotet?

Inicialmente, as infecções pelo Emotet só foram detectadas em versões mais recentes do sistema operacional Microsoft Windows. Porém, no início de 2019, soube-se que os computadores fabricados pela Apple também foram afetados pelo Emotet. Os criminosos atraíram os usuários para uma armadilha com um e-mail falso do suporte da Apple. Alegando que a empresa "restringiria o acesso à sua conta" se você não respondesse. As vítimas foram então instruídas a seguir um link para supostamente impedir a desativação e exclusão de seus serviços Apple.

Como o cavalo de Troia Emotet se espalha?

O Emotet é distribuído principalmente pela chamada colheita do Outlook. O cavalo de Troia lê os e-mails de usuários já afetados e cria um conteúdo aparentemente real. Esses e-mails parecem legítimos e pessoais — portanto, diferem dos e-mails de spam comuns. O Emotet envia esses e-mails de phishing para contatos armazenados como amigos, familiares e colegas de trabalho.

Na maioria das vezes, os e-mails contêm um documento do Word infectado que o destinatário deve fazer download ou um link perigoso. O nome correto é sempre exibido como o remetente. Portanto, os destinatários acham que ele é seguro: tudo parece um e-mail legítimo. Em seguida, eles (na maioria dos casos) clicam no link perigoso ou fazem download do anexo infectado.

Assim que o Emotet tem acesso a uma rede, ele pode se espalhar. No processo, ele tenta quebrar as senhas das contas usando o método de força bruta. Outras maneiras pelas quais o Emotet tem se espalhado incluem o exploit EternalBlue e a vulnerabilidade DoublePulsar no Windows, que permitia a instalação de malware sem intervenção humana. Em 2017, o cavalo de Troia de extorsão WannaCry conseguiu aproveitar o exploit EternalBlue para um grande ataque virtual que causou danos devastadores.

Quem está por trás do Emotet?

O Escritório Federal Alemão de Segurança de Informações (BSI) acredita que:

"Os desenvolvedores do Emotet estão sublocando seu software e infraestrutura para terceiros".

Eles também contam com um malware adicional para perseguir seus próprios objetivos. O BSI acredita que os criminosos são motivados financeiramente e, portanto, consideram como crime virtual — não espionagem. Ainda assim, ninguém parece ter uma resposta clara sobre quem exatamente está por trás do Emotet. Existem vários rumores sobre os países de origem, mas não há evidências confiáveis.

Quão perigoso é o Emotet?

O Departamento de Segurança Interna dos EUA chegou à conclusão de que o Emotet é um software particularmente caro, com enorme poder destrutivo. O custo da limpeza é estimado em cerca de um milhão de dólares americanos por incidente. Portanto, Arne Schoenbohm, chefe do Escritório Federal Alemão para Segurança de Informações (BSI), chama o Emotet de "rei do malware".

O Emotet é, sem dúvida, um dos malwares mais complexos e perigosos da história. O vírus é polimórfico, o que significa que seu código muda um pouco sempre que é acessado.

Isso torna difícil para o software antivírus identificar o vírus: muitos programas antivírus realizam pesquisas baseadas em assinaturas. Em fevereiro de 2020, pesquisadores de segurança da Binary Search descobriram que o Emotet agora também está atacando redes Wi-Fi. Se um dispositivo infectado estiver conectado a uma rede sem fio, o Emotet verifica todas as redes sem fio próximas. Usando uma lista de senhas, o vírus tenta obter acesso às redes e infectar outros dispositivos.

Os criminosos virtuais gostam de explorar o medo da população. Portanto, não é de surpreender que o medo do coronavírus, que circula pelo mundo desde dezembro de 2019, também seja explorado pelo Emotet. Os criminosos virtuais por trás do cavalo de Troia geralmente falsificam e-mails que deveriam informar sobre o coronavírus e educar o público. Portanto, se você encontrar esse tipo de e-mail em sua caixa de entrada, seja especialmente cuidadoso com quaisquer anexos ou links no e-mail.

Como posso me proteger do Emotet?

Ao se proteger contra o Emotet e outros cavalos de Troia, não é suficiente confiar apenas em programas antivírus. Detectar o vírus polimórfico é apenas a primeira etapa para os usuários finais. Simplesmente não há solução que forneça 100% de proteção contra o Emotet ou outros cavalos de Troia em constante mudança. Somente tomando medidas organizacionais e técnicas, você pode reduzir o risco de infecção ao mínimo.

Veja algumas dicas para se proteger do Emotet:

Mantenha-se atualizado. Mantenha-se regularmente informado sobre novos desenvolvimentos relacionados ao Emotet. Existem várias maneiras de fazer isso, como lendo o Kaspersky Resource Center ou fazendo sua própria pesquisa.
Atualizações de segurança: é essencial que você instale atualizações fornecidas pelos fabricantes o mais rápido possível para fechar possíveis brechas de segurança. Isso se aplica a sistemas operacionais, como Windows e macOS, bem como a quaisquer programas de aplicativos, navegadores, complementos de navegador, clientes de e-mail, Office e programas de PDF.
Proteção contra vírus: Certifique-se de instalar um programa completo de proteção contra vírus e malware, como o Kaspersky Internet Security, e faça com que ele verifique se há vulnerabilidades em seu computador regularmente. Isso proporcionará a melhor proteção possível contra os mais recentes vírus, spyware etc.
Não faça download de anexos duvidosos de e-mails ou clique em links suspeitos. Se você não tiver certeza se um e-mail é falso, não se arrisque e entre em contato com o remetente. Se você for solicitado a permitir que uma macro seja executada em um arquivo baixado, não faça isso em nenhuma circunstância, mas exclua o arquivo imediatamente. Assim você não dará ao Emotet uma chance para entrar no seu computador em primeiro lugar.
Faça backup de seus dados regularmente em um dispositivo de armazenamento externo. No caso de uma infecção, você sempre terá um backup para recorrer e não perderá todos os dados do seu dispositivo.
Use apenas senhas fortes para todos os logins (banco on-line, conta de e-mail, lojas on-line). Isso não significa o nome do seu primeiro cão, mas um arranjo aleatório de letras, números e caracteres especiais. Você mesmo pode inventar ou fazer com que sejam gerados por vários programas. Além disso, muitos programas hoje em dia oferecem a possibilidade de autenticação de dois fatores.
Extensões de arquivo: faça com que seu computador exiba as extensões de arquivo por padrão. Isso permite que você detecte arquivos duvidosos, como “Photo123.jpg.exe”, que tendem a ser programas maliciosos.

Como posso remover o Emotet?

Em primeiro lugar, não entre em pânico se suspeitar que o seu PC possa estar infectado com o Emotet. Informe seu círculo pessoal sobre a infecção, pois as pessoas em seus contatos de e-mail estão potencialmente em risco.

Em seguida, certifique-se de isolar o computador, se ele estiver conectado a uma rede, para reduzir o risco de propagação do Emotet. Em seguida, você deve alterar todos os dados de login de todas as suas contas (contas de e-mail, navegadores da Web etc.). Faça isso em um dispositivo separado que não esteja infectado ou conectado à mesma rede.

Como o Emotet é polimórfico (o que significa que seu código muda ligeiramente sempre que é acessado), um computador limpo pode ser reinfectado rapidamente, se estiver conectado a uma rede infectada. Portanto, você deve limpar todos os computadores conectados à rede — um após o outro. Use um programa antivírus para ajudá-lo a fazer isso. Como alternativa, você também pode entrar em contato com um especialista, como seu provedor de software antivírus, para obter orientação e ajuda.

EmoCheck: A ferramenta realmente ajuda contra o Emotet?

A CERT (Equipe de resposta a emergências de computadores) do Japão publicou uma ferramenta chamada EmoCheck, que afirma que pode ser usada para verificar se há uma infecção do Emotet no seu computador. Mas como o Emotet é polimórfico, o EmoCheck não pode garantir com 100% de certeza de que o computador não está infectado.

O que o EmoCheck faz é detectar cadeias de caracteres típicas e avisar sobre um possível cavalo de Troia. No entanto, a mutabilidade do vírus não garante que o computador esteja realmente limpo — o que vale a pena ter em mente.

Pensamentos finais

O cavalo de Troia Emotet é realmente um dos malwares mais perigosos da história da segurança virtual. Qualquer um pode se tornar uma vítima – indivíduos privados, empresas e até autoridades globais. Pois, uma vez que o cavalo de Troia se infiltra em um sistema, ele recarrega outro malware para espionar você.

Muitas das vítimas do Emotet são frequentemente chantageadas para pagar um resgate para obter os dados de volta. Infelizmente, não existe uma solução que forneça 100% de proteção contra uma infecção do Emotet. No entanto, existem várias medidas que podem ser tomadas para reduzir o risco de uma infecção.

Se suspeitar que seu computador esteja infectado com o Emotet, deve executar as ações mencionadas neste artigo para limpar o computador e certificar-se de estar protegido com uma solução antivírus abrangente, como as soluções antimalware Kaspersky.