A Europol anunciou a interrupção da botnet Emotet, um dos malwares mais prevalentes nos últimos anos, após uma operação em grande escala que também contou com a participação de várias autoridades policiais em toda a Europa e América do Norte.
Autoridades da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia se uniram para a operação que envolveu obter o controle da infraestrutura da botnet e interrompê-la "por dentro", segundo informações das autoridades policiais da União Europeia (UE).
“As máquinas infectadas foram redirecionadas para essa infraestrutura controlada pelas forças de segurança. Esta é uma abordagem única e nova para interromper de forma eficaz as atividades desse facilitador do cibercrime”, afirmou a Europol. A agência coordenou os esforços em conjunto com a Eurojust, a agência judiciária da UE.
Ao todo, cerca de 700 servidores de comando e controle (C&C) foram desligados, de acordo com a Agência Nacional do Crime do Reino Unido. Os operadores do Emotet utilizaram os servidores para comandar os computadores comprometidos, lançar novas campanhas maliciosas e aumentar a resiliência de sua infraestrutura, entre outras atividades.
Bye-bye botnets👋 Huge global operation brings down the world's most dangerous malware.
Investigators have taken control of the Emotet botnet, the most resilient malware in the wild.
Get the full story: https://t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
— Europol (@Europol) January 27, 2021
Dois dos três principais servidores da botnet estavam localizados na Holanda, disse a polícia holandesa, que apelidou a interrupção de "Operação LadyBird". Mais de um milhão de sistemas comprometidos foram detectados em todo o mundo e agora serão eliminados do Emotet por meio do download automático de uma atualização de software de servidores operados pelas autoridades holandesas.
A investigação também descobriu um banco de dados de 600.000 endereços de e-mail, nomes de usuário e senhas roubados pelos operadores da botnet, e a polícia holandesa criou uma página na qual as pessoas podem verificar se seu computador também pode ter sido vítima do Emotet.
Enquanto isso, a polícia ucraniana postou um vídeo mostrando uma batida policial na casa de um suposto operador do Emotet. Segundo o portal Reuters, as autoridades ucranianas garantiram que os danos causados pelo Emotet totalizam US$ 2,5 bilhões.
A botnet Emotet
Identificada pela primeira vez como um trojan bancário em 2014, a botnet Emotet logo se destacou na economia do cibercrime como serviço, evoluindo para o equivalente a um malware usado para distribuir diversos tipos de ameaças e causar prejuízos incalculáveis para as vítimas. Graças à sua modularidade, o Emotet era normalmente alugado para outros criminosos que buscavam implantar payloads adicionais, incluindo ransomware e trojans bancários, nas máquinas das vítimas. Ao longo dos anos, essas ameaças sofreram variações e incluíram o Trickbot, uma botnet que foi derrubada em outubro do ano passado.
O Emotet normalmente chega disfarçada de um e-mail aparentemente inofensivo, mas que na realidade contém um arquivo anexo ou link malicioso. Esses e-mails são construídos com diferentes tipos de iscas que tentam enganar as vítimas para que abram o link que esconde o malware. Depois de obter o acesso inicial a uma rede, a ameaça também tem a capacidade semelhante a um worm de se propagar para outros computadores dentro da rede de uma empresa.
O Emotec também é conhecido por registrar picos significativos de atividade por meio de campanhas de spam que são seguidos por períodos de baixa atividade ou inatividade por meses. Portanto, pode ser tentador pensar que o "monstro" nunca mais despertará após uma operação dessa escala, mas não devemos perder de vista o fato de que derrubar uma ameaça de tal magnitude é uma tarefa extremamente complexa.
Além disso, a interrupção do Emotet não é motivo para “baixar a guarda”.
Veja mais: Emotet: Brasil é um dos países mais afetados pela ameaça na América Latina