Emotetは洗練された自己増殖型です トロイの木馬 .Emotetはバンキング型トロイの木馬として始まりましたが、そのモジュール設計により、他の種類のマルウェアのディストリビューターに進化しました。 Emotetは、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散することがよくあります。
Emotetは、その高度な永続性と回避技術により、人気のあるマルウェアディストリビューターです。 また、スパムベースの伝播により、脅威アクターが簡単に配布できるようになります。
Emotetは、2021年1月に国際的なタスクフォースがマルウェアをダウンさせるまで、主要なマルウェアの脅威の1つでした。 ピーク時には、Emotetは世界中で150万台のコンピュータに感染し、オフラインになるまでに推定25億米ドルの損害を与えました。
2021年1月のテイクダウンにより、2021年11月にEmotetが復活するまで、10か月間の運用が停滞しました。 この攻撃は、Trickbotボットネットの範囲を利用して、既存のTrickbot感染にEmotetの改良版をダウンロードさせました。
Emotetの改善点には、より強力な暗号化、改善された制御フロー、および新しい感染メカニズムが含まれます。 Emotetは、標的型で一般的に使用されるCobalt Strikeビーコンも配信するようになりました ランサムウェア攻撃.
Emotetは、主にスパムメールを介して拡散します。 Emotetに感染したシステムは、コンピュータを感染させるように設計された悪意のあるリンクやドキュメントを含むスパムメールを送信します。 マルウェア.感染すると、これらのマシンは、Trickbot、QBot、Dridex マルウェアなど、他の種類のマルウェアをダウンロードし、マルウェアの伝播を続けます。
Emotetが死から蘇った場合、マルウェアは通常の動作を逆転させ、その逆ではなく、Trickbotに感染したマシンに自分自身をダウンロードすることがほとんどでした。 これにより、マルウェアは、マルウェアを拡散するように設計されたスパムメールの送信を開始するための大きな初期フットプリントを提供しました。
チェック・ポイントのリサーチ チームによる調査結果、Emotetは復活後、削除前の活動の50%に急速に達し、2022年に入っても成長を続けています。
Emotetはスパムを介して拡散する自己増殖型マルウェアであるため、 phishing emailsでは、標的型攻撃では一般的には使用されません。 多くの場合、Emotetは特定のシステムやネットワークに足場を作り、後でダウンロードされたマルウェアはこの初期アクセスを使用して標的型攻撃(ランサムウェア感染など)を実行する可能性があります。 Emotetの「スプレー&プレイ」配布方法は、あらゆる業界を標的にできることを意味しますが、マルウェアは特定の業界(政府機関のシステムなど)を標的にするために使用されることがあります。
Trickbotボットネットを介したEmotetの復活は、業界全体の全体的な分布にも影響を与えています。 Trickbotは一般的に、政府/軍事、金融/銀行、製造、ヘルスケア、保険/法律、運輸などの知名度の高い業界をターゲットにしています 被害者の半数以上を占めています 2020年11月より。 Emotetがダウンロードされ、Trickbotに感染したマシンにインストールされると、Emotetマルウェアは同様のディストリビューションから始まり、そこから分岐しました。
Emotetは、スパムメールやフィッシングメールを介して拡散するように設計されています。 これらの電子メールは、侵害されたマシンや電子メールアカウントから送信され、悪意のあるリンクや感染した添付ファイルを使用して、人々を騙してシステムにマルウェアをインストールさせます。
この焦点は、 フィッシング 配布とは、組織が次の手順でEmotet感染から身を守ることができることを意味します。
再登場以来、Emotet 急激に上昇しました 再び、最も危険で多作なマルウェアの亜種の1つになります。 その洗練さと改善された設計は、Emotet感染がさまざまな攻撃を可能にし、組織に多大なコストと損害をもたらす可能性があることを意味します。
Emotetの脅威の詳細については、チェック・ポイントをご覧ください。 2023 サイバーセキュリティレポート.次に、Emotetから組織を保護する方法について、以下で詳しく説明します。 signing up for a free demo of Check Point Harmony Endpoint.