美国联邦调查局(FBI)委托负责Have I Been Pwned(HIBP)的Troy Hunt,协助公布黑客用来散布Emotet的逾430万个电子邮件帐号,以提醒不小心沦为黑客帮凶的用户变更密码。

还记得欧洲刑警组织(Europol)与其它8个国家的执法机构在今年1月下旬,吗?为了预防Emotet起死回生,它们在本周日(4/25)自远端关闭了受害系统上的Emotet功能,而美国联邦调查局(FBI)则请Have I Been Pwned(HIBP)协助公布黑客用来散布Emotet的逾430万个电子邮件帐号,以提醒不小心沦为黑客帮凶的用户变更密码。

最初身为金融木马的Emotet可用来窃取受害者的机密数据,诸如存放在浏览器中的凭证,或是监听网络流量,由於它同时具备常驻与网络传播的特性,因而经常被黑客当作是入侵系统的缺口,还可用来下载包括勒索软件等其它恶意程序,根据趋势科技於2018年的统计,Emotet在全球至少建立了721个C&C服务器。而在执法机构扫荡了Emotet之後,它们在Emotet的服务器上发现美国电子邮件账号,从2020年的4月1日到2021年的1月17日间,Emotet约感染了全球160万台电脑,散布在全球逾50个国家。

尽管国际警方已经扣押了Emotet位於全球的服务器,但为了预防Emotet的活动死灰复燃,执法机构决定自远端关闭Emotet的运作。

初期媒体报导该远端移除Emotet的行动是由荷兰警方主导,但BleepingComputer近日却说是由德国联邦警察单位Bundeskriminalamt负责,至於美国司法部则仅说是由某个国外的执法机构负责。

,执法机构的作法是藉由置换服务器上的Emotet恶意程序,以让全球感染Emotet的系统在更新时,下载由执法机构所提供的版本,而新的版本并未移除受害系统上已经由Emotet植入的各种恶意程序,只是为了切断Emotet对外的联系,让建立Emotet殭屍网络的黑客无法再控制这些受害系统,也无法再於受害系统上安装其它恶意程序。

其实执法机构早在接管Emotet服务器时就订定了该计划,只是将触发时间订在4月25日。

另一方面,黑客散布Emotet恶意程序的主要渠道是透过垃圾邮件,於邮件中夹带恶意文件或恶意连接,以诱导用户点击并下载/安装恶意程序,且黑客所利用的是无辜用户的电子邮件帐号与凭证,猜测是自外泄事件而来,而FBI在取得逾430万的电子邮件帐号之後,,透过HIBP的服务来提醒用户。

HIBP服务允许用户输入自己的电子邮件帐号美国电子邮件账号,以搜寻自己的帐号是否出现在任何的外泄数据库中,但由於这次的意外被HIBP列为机密事件,,或是藉由,由HIBP主动通知遭到Emotet利用的电子邮件用户。