Emotet, deneyimli tehdit aktörleri tarafından işletilerek siber suç dünyasının en büyük oyuncularından biri haline geldi.
Emotet, Ocak 2021’de farklı ülkelerden katılan kolluk kuvvetlerinin ortak çabaları sonucunda kapatıldı. Ancak Kasım 2021’de botnet geri döndü ve o zamandan beri etkinliğini kademeli olarak artırıyor. Önce farklı bir bot ağı olan Trickbot üzerinden iletilen botnet ağı, şimdi ise kötü niyetli spam kampanyaları aracılığıyla kendi kendine yayılıyor.
Kaspersky telemetrisi, Şubat 2022’de 2 bin 843 olan kurban sayısının Mart ayında 9 bin 086’ya yükseldiğini ve üç katından fazla sayıda kullanıcının saldırıya uğradığını gösteriyor. Kaspersky çözümlerinin tespit ettiği saldırı sayısı Şubat 2022’de 16 bin 897 iken Mart’ta 48 bin 597’ye yükseldi.
Tipik bir Emotet bulaşması, kötü amaçlı bir makro içeren Microsoft Office eklerinin istenmeyen e-postalarla gönderilmesiyle başlıyor. Saldırganlar bu makroyu kullanarak bir modül yükleyiciyi bırakmak ve çalıştırmak için kötü niyetli bir PowerShell komutu başlatabiliyor. Bu komut daha sonra modülleri indirmek ve başlatmak için bir komuta ve kontrol sunucusuyla iletişim kurabiliyor. Bu modüller, virüslü cihazda çeşitli farklı görevler gerçekleştirebiliyor.
Kaspersky araştırmacıları, çoğu geçmişte Emotet tarafından şu veya bu şekilde kullanılmış olan 16 modülden 10’unu analiz etti. Buna göre Emotet’in mevcut sürümü virüslü cihazların ağda saldırıyı yaymasına zemin hazırlıyor, Thunderbird ve Outlook uygulamalarından e-postaları ve e-posta adreslerini çalabiliyor, Internet Explorer, Mozilla Firefox, Google Chrome gibi popüler web tarayıcılarından şifreleri toplayabiliyor ve otomatik spam kampanyaları oluşturabiliyor.
Kaspersky Güvenlik Araştırmacısı Alexey Shulmin şunları söylüyor: “Emotet, dünya çapında birçok organizasyonun peşine düşen, son derece gelişmiş bir botnet ağıydı. Bu ağın ortadan kaldırılması, bir yıldan uzun süredir en büyük tehditler sıralamasından çıkmalarına ve dünya genelindeki tehditleri azaltmalarına yönelik önemli bir adım olmuştu. Saldırıların şu anki sayısı Emotet’in operasyondan önceki ölçeğiyle karşılaştırılabilir olmasa da dinamiklerdeki değişiklik botnet operatörlerinin önemli ölçüde etkinleştirildiğini ve bu tehdidin önümüzdeki aylarda daha fazla yayılma olasılığının yüksek olduğunu gösteriyor.”
İşletmelerin Emotet ve benzeri botnetlerden korunmasına yardımcı olmak için uzmanlar, kuruluşların mümkün olan en kısa sürede aşağıdaki önlemleri almasını öneriyor:
- Sistemler sürekli güncel tutulmalıdır. Emotet ile ilgili daha fazla güncel bilgi edinilebilir, farklı kanallardan bir araştırma yürütülebilir.
- İstenmeyen e-postalarla gelen şüpheli ekler indirilmemelidir veya şüpheli bağlantılara tıklanmamalıdır. Bir e-postanın sahte olup olmadığından emin olunamıyorsa, riske girilmemeli ve gönderenle farklı kanaldan iletişime geçilmelidir. İndirilen bir dosyada bir makronun çalışmasına izin verilmesi istenirse, bu hiçbir koşulda yapılmamalıdır ve dosya hemen silinmelidir. Bu şekilde Emotet’e bilgisayara girme şansı verilmeyecektir.
- İnternet bankacılığı, çok faktörlü kimlik doğrulama çözümleriyle kullanılmalıdır.
- Eksiksiz bir virüs ve kötü amaçlı yazılım koruma programı yüklenildiğinden emin olunmalıdır ve bilgisayar herhangi bir güvenlik açığına karşı düzenli olarak taranmalıdır. Bu bilgisayara, en son virüslere, casus yazılımlara karşı mümkün olan en iyi korumayı sağlayacaktır.
- İşletim sistemi ve tüm uygulamalar dahil olmak üzere tüm yazılımların güncellenildiğinden emin olunmalıdır. Saldırganlar giriş noktası elde etmek için yaygın olarak kullanılan programlardaki açıklardan yararlanır.
- Güvenilir olmayan kaynaklardan gelen bağlantılara tıklamamak veya ekleri açmamak gibi en iyi uygulamalar konusunda çalışanları eğitmek için düzenli olarak siber güvenlik farkındalık eğitimlerine yatırım yapılmalıdır. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için bu süreç, simüle edilmiş bir kimlik avı saldırısıyla takip edilebilir.