Emotetの摘発がもたらす朗報
2021年2月1日、Mike Vizard
世界中のセキュリティプロフェッショナルは8か国の法執行機関が関与する必要があった有名なEmotetボットネットの摘発に歓声を上げました。現在、セキュリティプロフェッショナルの多くが抱いている2つの疑問は、何にこれほど時間がかかったか、およびこのような行動が再び繰り返される可能性があるかです。
今回のEmotetの摘発は2010年にEU(欧州連合)加盟国がユーロポール(欧州刑事警察機構)のために設定したEMPACT(European Multidisciplinary Platform Against Criminal Threats)の枠組みの下で実施されました。この枠組みは、国境を越えて活動する犯罪組織の逮捕に利用されてきましたが、攻撃者に対する成功は、これまでにないことが多く証明されています。
今回の摘発は、EU全体の司法措置を調整するユーロポールとユーロジャスト(欧州司法機構)が調整しました。この場合は、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、およびウクライナの法執行機関が参加しました。
Emotetボットネットは、マルウェアに感染したMicrosoft Word文書を悪用して、PCにアクセスし、PCの処理能力を悪用するため、有名になりました。ボットネットを管理する攻撃者は、Emotetボットネットを悪用したため、ランサムウェア攻撃などの攻撃を実行する攻撃者にシステムのネットワークを貸し出していました。
世界中に分散した数百台のサーバがEmotetのインフラストラクチャの中核をなしていました。法執行機関と司法当局は、インフラストラクチャを管理できるようになったため、内部から摘発できたと述べています。感染したマシンは法執行機関が管理するインフラストラクチャにリダイレクトされています。つまり、攻撃者は、Emotetを再実行するためだけに、新しいサーバを起動することはできないということです。現在、企業は、今後、侵害を受けないように、システムをスキャンして、Emotetマルウェアがないかどうかを確認するように推奨されています。
犯罪捜査の一環として、Emotetが盗み出したメールアドレス、ユーザ名、およびパスワードを含むデータベースがオランダで発見されました。個人と企業はメールアドレスが漏洩していないかどうかを確認できます。感染したマシンの所有者に通知する取り組みの一環として、情報がCSIRT(Computer Security Incident Response Team)ネットワークによって世界中に配信されました。
Emotetの摘発後の対策
法執行機関が国外の機関と協力することをあまり好まない国では、攻撃者がサーバを再構築する可能性が考えられるため、機関は、企業のシステムからEmotetマルウェアを除去するために、支援したいと考えています。
もちろん、Emotetは、最も有名なボットの一つかもしれませんが、唯一のボットというわけではありません。セキュリティ部門が引き続き直面する課題は、ユーロポールなどの機関では手の届かないC&C(コマンドアンドコントロール)システムに基づくボットが拡散していることです。攻撃者は、必要な場合のみ、統合的な方法で動作する小規模なボットネットを構築して、地下に潜入するだけになる可能性があります。
ボットネットによって実行された攻撃では、世界経済から何兆ドルもの資金が流出しています。このような損害にもかかわらず、さまざまな国家の指導者は、ライバルを混乱させ、知的財産を盗み出すために、多くの場合、攻撃者の存在に依存する政策を推進することに引き続き注力するでしょう。Emotetボットネットの摘発は勝利ではありませんが、ボットネットがどれほどの損害をもたらしているかは非常に明らかです。
原文はこちら:
Emotet takedown brings encouraging news
February 1, 2021 Mike Vizard
https://blog.barracuda.com/2021/02/01/emotet-takedown-brings-encouraging-news/