Com o propósito de alertar as vítimas da botnet Emotet, o Federal Bureau of Investigation (FBI) dos Estados Unidos compartilhou com o site de monitoramento de vazamentos de dados, Have I Been Pwned (HBIP), mais de 4,3 milhões de endereços de e-mail de usuários e empresas que foram coletados pelo Emotet.

“No total, foram fornecidos 4.324.770 endereços de e-mail, abrangendo um grande número de países e domínios. Esses endereços fazem parte de dois conjuntos separados de dados que foram obtidos pelas agências durante o processo de desativação da botnet Emotet”, disse o fundador do HBIP, Troy Hunt, em uma publicação em seu blog.

Essa ação ocorreu imediatamente após uma operação realizada no último domingo (25), na qual as forças de segurança lançaram uma atualização visando todos os sistemas comprometidos pelo Emotet para desinstalar o malware. Isso aconteceu em janeiro deste ano, depois que autoridades da Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia uniram forças para desmontar a botnet Emotet, ganhando o controle de sua infraestrutura e desmontando-a de forma interna. Cerca de 700 servidores de comando e controle foram desconectados.

No início da operação, o FBI contatou a Troy Hunt para verificar uma maneira eficaz de alertar os usuários e empresas de que o Emotet havia comprometido seus sistemas e contas.

Veja mais: Descubra se sua senha já foi vazada na Internet

O FBI compartilhou com o site HIBP as informações de login que o Emotet salvou para enviar spam através dos provedores de e-mail das vítimas, junto com as credenciais web coletadas de navegadores nos quais as senhas foram salvas para otimizar o processo de login.

Apesar de ter sido avaliada a possibilidade de tratar os dados coletados como dois vazamentos, eles decidiram fazer o upload das informações para o Have I Been Pwned como um único vazamento e que a recomendação final é muito semelhante em ambos os casos. No entanto, os usuários que desejam verificar se foram afetados pelo Emotet não poderão fazer isso usando a barra de busca na página inicial do HIBP. Isso ocorre porque o incidente foi classificado como sensível por Troy Hunt para que os resultados não sejam públicos, evitando que os usuários afetados pelo Emotet se tornem alvos de futuros ataques, explicou Hunt.

“Para que eles verifiquem se foram afetados por um vazamento de dados sensíveis, as buscas devem ser feitas por meio de contas de e-mail que passam pelo processo de verificação ou por meio da opção de busca de domínio. Este processo é feito através do sistema de notificação que envolve o envio de um e-mail de verificação para o endereço com um link exclusivo. Quando esse link é acessado, o dono do endereço pode visualizar todos os vazamentos de dados em que esteve envolvido”, afirma a seção de perguntas frequentes do site.

Caso a busca revele que você foi afetado pelo Emotet, Hunt sugere a execução das seguintes etapas para mitigar o impacto:

  • Alterar a senha de sua conta de e-mail e as senhas de qualquer serviço conectado a essa conta.
  • Manter os dispositivos e a solução de segurança corrigidos e atualizados.
  • Os administradores responsáveis ​​por sistemas com múltiplos usuários devem usar as regras YARA publicadas pelo DFN-CERT.