Emotet byl jedním z nejnebezpečnějších botnetů, který útočníci používali pro zasílání spamu a k distribuci malwaru jako je ProLock, Egregor, Ryuk a Conti. Botnet údajně ovládal více než jeden milion strojů po celém světě a provozovatelům vydělal přes 2 miliardy dolarů. V neděli 25. dubna zahájila policie jeho vzdálenou odinstalaci ze všech infikovaných zařízení, informoval server Bleeping Computer.
Zastavení botnetu je vyvrcholením mezinárodní akce, jejímž výsledkem bylo převzetí kontroly nad řídícími servery policejními orgány. Německý Spolkový kriminální úřad (Bundeskriminalamt) začal po ovládnutí sítě šířit na zasažené počítače nový 32bitový modul EmotetLoader.dll, jehož úkolem je odinstalace škodlivé aplikace.
Tvrdý zásah na Emotet
Bezpečnostní experti ze společnosti Malwarebytes se podrobněji podívali na funkce odinstalačního modulu. Zjistili, že automaticky odstraňuje související služby, maže z registru položky zajišťující automatické spouštění při startu operačního systému, a nakonec ukončí příslušný proces. Vše ostatní na napadených zařízeních zůstává nedotčené.
Generální ředitel Malwarebytes Marcin Kleczynski zdůrazňuje, že by bylo vhodné, aby policejní orgány publikovaly kód své aplikace kvůli kontrole, zda neobsahuje nějaké další funkce. Celou akci vnímá jako ojedinělou událost, vyžadující speciální řešení.
Ministerstvo spravedlnosti Spojených států v tiskové zprávě ze 28. ledna uvedlo: „Zahraniční orgány činné v trestním řízení ve spolupráci s FBI nahradily malware Emotet na serverech umístěných v jejich jurisdikci souborem vytvořeným orgány činnými v trestním řízení. Tento soubor neodstraňuje další malware, který byl již nainstalován na infikovaný počítač prostřednictvím Emotetu; je navržen tak, aby zabránil instalaci dalšího škodlivého softwaru na infikovaný počítač tím, že ho odpojí od botnetu.“
Odložené zrušení botnetu
Ačkoli policie získala kontrolu nad botnetem již v lednu tohoto roku, k jeho odinstalaci přistoupila až nyní. Hlavním důvodem byla snaha o zajištění dalších důkazů o této škodlivé síti kvůli probíhajícímu vyšetřování.
Za tímto účelem byly komunikační parametry softwaru upraveny tak, aby systémy obětí dále nekomunikovaly s infrastrukturou útočníků, ale s vlastní infrastrukturou vytvořenou německým Spolkovým kriminálním úřadem kvůli zajištění důkazů.
K podobnému kroku se v dubnu odhodlala americká FBI, která vzdáleně odinstalovala malware z infikovaných serverů Microsoft Exchange. S ohledem na probíhající vyšetřování však policie zatím nechce uvádět další podrobnosti.