«اموتت» خطرناک‌ترین بات‌نت جهان، طی عملیات «کفشدوزک» منهدم شد

در روزهایی که دائم اخبار بدی از بدافزارها منتشر می‌شود، گاهی خبرهای خوبی هم به گوش می‌رسد. بات‌نت اموتت (Emotet) که در بسیاری از حملات بدافزاری نقش داشت با همکاری پلیس کشورهای مختلف از کار افتاد.

 «اموتت» خطرناک‌ترین بات‌نت جهان، طی عملیات «کفشدوزک» منهدم شد

در روزهایی که دائم اخبار بدی از بدافزارها منتشر می‌شود، گاهی خبرهای خوبی هم به گوش می‌رسد. بات‌نت اموتت (Emotet) که در بسیاری از حملات بدافزاری نقش داشت با همکاری پلیس کشورهای مختلف از کار افتاد.

برنامه‌ریزی کفشدوزک از دو سال قبل شروع شده بود. یوروپل (پلیس اروپا)، آژانس ملی جرائم بریتانیا، FBI، پلیس هلند، آلمان، فرانسه، لیتوانی، کانادا و اوکراین طی این عملیات موفق شدند کنترل اموتت را به دست بگیرند.

اموتت اولین بار در سال 2014 به عنوان یک تروجان بانکی ظاهر شد، اما به مرور به یکی از قوی‌ترین بدافزارهای مورد استفاده مجرمان سایبری تبدیل شد. اموتت از طریق ایمیل‌های فیشینگ خودکار، فایل‌های word آلوده را منتشر می‌کرد. این فایل‌ها باعث ایجاد در پشتی روی سیستم‌های ویندوزی می‌شدند. موضوع ایمیل‌ها و فایل‌های پیوست آنها به طور مداوم تغییر داده می‌شد تا شانس فریب خوردن قربانی و نصب بدافزار بالا رود.

درباره اموتت بیشتر بخوانید: تروجان اموتت به روش‌های جدید خود را مخفی می‌کند

 

باندهای تبهکاری، ماشین‌های آلوده شده را از گردانندگان اموتت اجاره می‌کردند تا از آنها به عنوان دریچه‌ای برای سایر حملات بدافزاری استفاده کنند. این حملات می‌توانستند شامل باج‌افزار یا تروجان کنترل از راه دور (RAT) باشند.

از این رو، یوروپل اموتت را «خطرناک‌ترین بدافزار جهان» و «یکی از مهم‌ترین بات‌نت‌های دهه گذشته» می‌نامد. کمپین‌هایی نظیر باج‌افزار Ryuk و تروجان بانکی TrickBot از ماشین‌های آلوده شده توسط اموتت برای نصب بدافزار خود استفاده می‌کردند. بنابراین انهدام اموتت یکی از مهم‌ترین اقدامات علیه کمپین‌های بدافزاری و مجرمان سایبری در سال‌های اخیر است.

نیروهای انتظامی کشورهای مختلف در سراسر جهان کنترل زیرساخت اموتت شامل صدها سرور را به دست گرفتند و آن را از درون نابود کردند. اکنون ماشین‌هایی که توسط اموتت آلوده شده بودند به سمت زیرساختی هدایت می‌شوند که در کنترل نیروهای انتظامی است، یعنی مجرمان سایبری، دیگر نمی‌توانند از ماشین‌های آلوده شده سوء استفاده کنند و قادر نیستند به اهداف جدید نفوذ کنند. البته جهت شناسایی گردانندگان اموتت، عملیات هنوز ادامه دارد.

 

 

پاک‌سازی خودکار سیستم‌های آلوده

زیرساخت اموتت از شبکه پیچیده‌ای از صدها سرور تشکیل شده بود. برخی از سرورها برای جاسوسی از ماشین‌های آلوده و فروش اطلاعات آنها، برخی برای گرفتن قربانیان جدید و بعضی دیگر برای بازدارندگی در برابر پلیس و شرکت‌های امنیتی. پلیس موفق شد نقشه کل این زیرساخت را ترسیم کند. به گفته پلیس هلند، دو سرور از سه سرور اصلی بات‌نت در این کشور واقع شده بودند. روی سرورهای واقع در هلند، به‌روزرسانی‌ای قرار گرفته است که به طور خودکار به سیستم‌های آلوده منتقل می‌شود و آلودگی را قرنطینه خواهد کرد.

بسیاری از بات‌نت‌ها مثل اموتت «چندریختی» هستند، به این معنی که کد آنها هر بار تغییر می‌کند. از آنجا که بسیاری از ضدویروس‌ها کامپیوتر را به دنبال کدهای شناخته شده بدافزارها اسکن می‌کنند، ممکن است تغییر کد بدافزار باعث دشواری تشخیص آن شود.

بنابراین ترکیبی از ابزارهای امنیتی (ضدویروس و سیستم‌عامل) به‌روز و آگاهی از امنیت سایبری لازم است تا از افتادن در دام بات‌نت‌های پیچیده مثل اموتت جلوگیری شود. کاربران باید با دقت ایمیل خود را بررسی کنند و از باز کردن ایمیل‌ها و مخصوصاً پیوست‌های دریافتی از فرستندگان ناشناس خودداری کنند.

همچنین پلیس هلند پایگاه داده‌ای از نام‌های کاربری و گذرواژه ایمیل‌های سرقت شده توسط اموتت را به دست آورده است. با استفاده از این صفحه وب می‌توانید بررسی کنید که آیا ایمیلتان در بین ایمیل‌های سرقت شده قرار دارد یا خیر.

در همین حال، مقامات آمریکا و بلغارستان عملیات باج‌افزاری NetWalker را متوقف کردند.

زیرساخت اموتت از شبکه پیچیده‌ای از صدها سرور تشکیل شده بود. برخی از سرورها برای جاسوسی از ماشین‌های آلوده و فروش اطلاعات آنها، برخی برای گرفتن قربانیان جدید و بعضی دیگر برای بازدارندگی در برابر پلیس و شرکت‌های امنیتی. پلیس موفق شد نقشه کل این زیرساخت را ترسیم کند. به گفته پلیس هلند، دو سرور از سه سرور اصلی بات‌نت در این کشور واقع شده بودند. روی سرورهای واقع در هلند، به‌روزرسانی‌ای قرار گرفته است که به طور خودکار به سیستم‌های آلوده منتقل می‌شود و آلودگی را قرنطینه خواهد کرد.

بسیاری از بات‌نت‌ها مثل اموتت «چندریختی» هستند، به این معنی که کد آنها هر بار تغییر می‌کند. از آنجا که بسیاری از ضدویروس‌ها کامپیوتر را به دنبال کدهای شناخته شده بدافزارها اسکن می‌کنند، ممکن است تغییر کد بدافزار باعث دشواری تشخیص آن شود.

بنابراین ترکیبی از ابزارهای امنیتی (ضدویروس و سیستم‌عامل) به‌روز و آگاهی از امنیت سایبری لازم است تا از افتادن در دام بات‌نت‌های پیچیده مثل اموتت جلوگیری شود. کاربران باید با دقت ایمیل خود را بررسی کنند و از باز کردن ایمیل‌ها و مخصوصاً پیوست‌های دریافتی از فرستندگان ناشناس خودداری کنند.

همچنین پلیس هلند پایگاه داده‌ای از نام‌های کاربری و گذرواژه ایمیل‌های سرقت شده توسط اموتت را به دست آورده است. با استفاده از این صفحه وب می‌توانید بررسی کنید که آیا ایمیلتان در بین ایمیل‌های سرقت شده قرار دارد یا خیر.

در همین حال، مقامات آمریکا و بلغارستان عملیات باج‌افزاری NetWalker را متوقف کردند.

کلمات کلیدی