美國聯邦調查局(FBI)委託負責Have I Been Pwned(HIBP)的Troy Hunt,協助公布駭客用來散布Emotet的逾430萬個電子郵件帳號,以提醒不小心淪為駭客幫兇的使用者變更密碼。

還記得歐洲刑警組織(Europol)與其它8個國家的執法機構在今年1月下旬,聯手破獲了Emotet殭屍網路嗎?為了預防Emotet起死回生,它們在本周日(4/25)自遠端關閉了受害系統上的Emotet功能,而美國聯邦調查局(FBI)則請Have I Been Pwned(HIBP)協助公布駭客用來散布Emotet的逾430萬個電子郵件帳號,以提醒不小心淪為駭客幫兇的使用者變更密碼。

最初身為金融木馬的Emotet可用來竊取受害者的機密資料,諸如存放在瀏覽器中的憑證,或是監聽網路流量,由於它同時具備常駐與網路傳播的特性,因而經常被駭客當作是入侵系統的缺口,還可用來下載包括勒索軟體等其它惡意程式,根據趨勢科技於2018年的統計,Emotet在全球至少建立了721個C&C伺服器。而在執法機構掃盪了Emotet之後,它們在Emotet的伺服器上發現,從2020年的4月1日到2021年的1月17日間,Emotet約感染了全球160萬台電腦,散布在全球逾50個國家。

儘管國際警方已經扣押了Emotet位於全球的伺服器,但為了預防Emotet的活動死灰復燃,執法機構決定自遠端關閉Emotet的運作。

初期媒體報導該遠端移除Emotet的行動是由荷蘭警方主導,但BleepingComputer近日卻說是由德國聯邦警察單位Bundeskriminalamt負責,至於美國司法部則僅說是由某個國外的執法機構負責。

根據美國司法部的說明,執法機構的作法是藉由置換伺服器上的Emotet惡意程式,以讓全球感染Emotet的系統在更新時,下載由執法機構所提供的版本,而新的版本並未移除受害系統上已經由Emotet植入的各種惡意程式,只是為了切斷Emotet對外的聯繫,讓建立Emotet殭屍網路的駭客無法再控制這些受害系統,也無法再於受害系統上安裝其它惡意程式。

其實執法機構早在接管Emotet伺服器時就訂定了該計畫,只是將觸發時間訂在4月25日。

另一方面,駭客散布Emotet惡意程式的主要管道是透過垃圾郵件,於郵件中夾帶惡意檔案或惡意連結,以誘導使用者點擊並下載/安裝惡意程式,且駭客所利用的是無辜使用者的電子郵件帳號與憑證,猜測是自外洩事件而來,而FBI在取得逾430萬的電子郵件帳號之後,即主動聯繫HIBP,透過HIBP的服務來提醒使用者。

HIBP服務允許使用者輸入自己的電子郵件帳號,以搜尋自己的帳號是否出現在任何的外洩資料庫中,但由於這次的意外被HIBP列為機密事件,只能執行範圍較大的網域搜尋,或是藉由必須驗證電子郵件帳號的通知服務,由HIBP主動通知遭到Emotet利用的電子郵件用戶。


熱門新聞

Advertisement