Emotet Malware - Um Guia para o Trojan Bancário

O Emotet é um malware altamente sofisticado e destrutivo que está a causar enormes problemas a organizações em todo o mundo.

Emotet Malware surgiu pela primeira vez em 2014 como um Trojan bancário concebido para roubar credenciais bancárias e outros dados sensíveis. No entanto, nos últimos 5 anos, o malware evoluiu rapidamente para uma das ameaças cibernéticas mais perigosas do mundo.

De acordo com um alerta de Segurança Interna dos EUA publicado em 2018, "o Emotet continua a estar entre os malwares mais caros e destrutivos que afectam os governos estaduais, locais, tribais e territoriais (SLTT), e os sectores privado e público. É difícil combater e as infecções Emotet custaram aos governos do SLTT até um milhão de dólares por incidente para remediar".

Porque é que o Emotet Malware é tão perigoso?

O malware do Emotet utiliza as suas capacidades de tipo worm para se espalhar rapidamente para outros computadores ligados em rede. Isto significa que a infecção pode alastrar como fogo selvagem por uma organização sem qualquer interacção do utilizador.

Ganhou também novas funcionalidades para a tornar ainda mais ameaçadora. O Emotet pode adicionar uma máquina infectada a uma botnet para realizar ataques DDoS ou pode ser misturado com outras formas de resgates para destruição máxima.

O malware é extremamente versátil e está a ser adoptado por muitos grupos cibernéticos devido ao seu comportamento polimórfico. Pode efectivamente alterar-se a si próprio cada vez que é descarregado para escapar à detecção de anti-vírus com base em assinaturas.

Tem havido um enorme pico nos ataques Emotet em todo o mundo, e em Fevereiro de 2018, a cidade de Allentown, Pennsylvania, foi posta de joelhos quando foi atacada com o malware auto-replicante.

Alguns dos sistemas financeiro e público da cidade tiveram de ser encerrados e o ataque tem a reputação de ter custado à cidade cerca de 1 milhão de dólares em prejuízos.

Como é que o Emotet Malware infecta máquinas e se propaga?

A maioria das infecções por Emotet começa com um simples e-mail de Phishing. O e-mail pode parecer vir de uma fonte legítima com a marca e logótipos oficiais de uma empresa bem conhecida. Como em todos os e-mails de phishing, o objectivo final é pressionar o destinatário a clicar num link malicioso ou a descarregar um anexo.

Assim que o receptor clicar no link ou abrir um ficheiro, estará a permitir, involuntariamente, macros que iniciam o processo de infecção. Assim que o dispositivo for infectado, o Emotet começará a tentar propagar-se a outros dispositivos na rede.

O malware do Emotet fará o scan das listas de contactos e começará a bombardear todas as pessoas da lista com e-mails maliciosos. Como o e-mail parece vir de uma fonte de confiança, os utilizadores estarão mais inclinados a clicar nos links que o acompanham ou a abrir um anexo.

Se uma rede ligada estiver presente, o Emotet tentará espalhar-se usando o ataque por força bruta. Tentará diferentes combinações de nomes de utilizador e senhas para ver se consegue aceder à rede desta forma.

Outra forma de propagação do Emotet é através da exploração das Vulnerabilidades Eternal Blue/Double Pulsar Vulnerabilities. Estas são as mesmas vulnerabilidades que foram exploradas nos infames ataques WannaCry e NotPetya que causaram uma enorme perturbação global.

O que se pode fazer para prevenir a infecção por Emotet?

• Mantenha o seu software actualizado com as últimas correcções de segurança da Microsoft - o malware Emotet tirará muitas vezes partido da Vulnerabilidade Azul Eterna do Windows. A aplicação regular de patches irá corrigir vulnerabilidades de segurança, remover funcionalidades desactualizadas e actualizar drivers.
• Seguir boas práticas de segurança para minimizar o risco de infecção - Evitar clicar em ligações ou descarregar anexos de fontes desconhecidas. As bandeiras vermelhas podem incluir: uma saudação genérica, gramática deficiente, linguagem ameaçadora, um URL não correspondido, erros ortográficos, reclamações de prémios ou um pedido de informação sensível como um nome de utilizador ou senha.
• Formação de sensibilização para a cibersegurança - As infecções por Emotet dependem fortemente da abertura de um e-mail de phishing por um utilizador. Para garantir que os funcionários possam reconhecer eficazmente estas ameaças, é vital que recebam regularmente formação de sensibilização para a segurança cibernética. A formação ajudará o pessoal a defender a sua organização e reduzirá a probabilidade de as redes serem infectadas pelo Emotet.
• Usar software anti-vírus - O malware Emotet tem tido muito sucesso em evitar a detecção de muitas formas de soluções de software anti-vírus. No entanto, ainda é vital investir numa solução anti-vírus digna de confiança que utilize tecnologia de bloqueio de comportamento para além da protecção baseada na assinatura.
• Criar uma senha forte e complexa - Uma senha forte deve ter entre 8-15 caracteres de comprimento, uma mistura de letras maiúsculas e minúsculas e incluir números ou símbolos. Uma palavra-passe também pode ser utilizada para memorizar palavras-passe mais longas e mais complexas. Para tornar a frase-chave segura: Utilizar uma frase fácil de lembrar mas aleatória, adicionar espaços, substituir letras por números e adicionar caracteres extra para a tornar ainda mais segura.
• Utilizar a autenticação de dois factores (2FA) - A autenticação de dois factores acrescenta uma camada adicional de segurança ao processo de autenticação, tornando mais difícil o acesso de um hacker ao dispositivo de uma pessoa. Para além de uma senha, a autenticação com dois factores requer uma segunda peça de informação para confirmar a identidade do utilizador.
• Banner de correio electrónico externo - Utilize um banner de correio electrónico para notificar os empregados de que um correio electrónico veio de uma fonte externa.
• Bloquear ficheiros e anexos questionáveis - Considerar o bloqueio de anexos normalmente associados a malware, tais como .dll e .exe, e anexos que não podem ser verificados por software antivírus, tais como ficheiros .zip.

Como remover o Emotet Malware de um dispositivo infectado

Como vimos acima, o malware Emotet pode propagar-se rapidamente para outros computadores ligados à rede, a menos que seja contido e erradicado o mais rapidamente possível. Se acredita que o seu dispositivo ou rede foi comprometido pelo Emotet, deve tomar imediatamente as seguintes medidas:

• Executar um scan anti-vírus no sistema e tomar medidas para isolar quaisquer computadores infectados com base nos resultados.
• Identificar, desligar, e retirar quaisquer computadores infectados da rede.
• Considere a possibilidade de desligar temporariamente a rede para parar a propagação de malware.
• Identificar a fonte da infecção.
• Limpar cada computador um a um para evitar que seja reinfectado.
• Alterar e actualizar palavras-passe para domínio e credenciais locais.

O phishing é a causa número um de todos os ciberataques e continua a ser uma das formas mais fáceis de roubar dados valiosos e entregar resgates. A MetaPhish foi criada para fornecer uma poderosa defesa contra estas ameaças e permite às organizações descobrirem o quão susceptível é a sua empresa ao phishing. Entre em contacto para mais informações sobre como a MetaPhish pode ser utilizada para proteger o seu negócio.