Cidadãos e empresas mexicanas e brasileiras estão entre os alvos mais atacados pelo grupo – que rouba contas de e-mail e cartões de crédito para vendê-los depois. Grupo também serve como porta de entrada para ataques de ransomware contra grandes empresas
A Emotet se tornou um “mercadão” em que o grupo que controla uma botnet, rede de computadores infectados que permite acesso remoto de informações e controle remoto do dispositivo comprometido, vende serviços maliciosos para outros cibercriminosos. Essa é a principal conclusão da análise realizada pela Equipe de Pesquisa e Análise da Kaspersky na América Latina. Os alvos desse grupo são internautas, empresas e governos, que têm seus cartões de crédito e contas de e-mail roubadas (especialmente as salvas nos navegadores) para serem vendidos posteriormente, com os golpistas ainda oferecendo acesso aos computadores e servidores comprometidos para grupos de ransomware executarem seus ataques.
Esse grupo foi detectado pela primeira vez em 2014 realizando fraudes financeiras por meio de trojans bancários ao redor do mundo. Desde então, eles mudaram sua atuação criminosa e se converteram na maior e mais potente botnet em atuação. Diversas tentativas de remoção dela foram feitas, a última (no início de 2021) foi liderada pela Europol e contou com o apoio de diversos órgãos policiais do mundo. Apesar de um sucesso parcial, o grupo reconstruiu a infraestrutura da rede de robôs e ressurgiu com mais força.
A telemetria da Kaspersky mostra que o número global de vítimas disparou de 2.843 em fevereiro para 9.086 em março de 2022 – um valor três vezes maior. Em relação aos números de bloqueios, o crescimento foi proporcional e a empresa registrou 16.897 tentativas de infecção em fevereiro e 48.597 em março. Considerando só os países da América Latina, o México está na segunda posição e o Brasil em quarto no ranking global, sendo observado crescimento de 14 mil bloqueios para 357 mil entre fev/mar e 4 mil para 52 mil no mesmo período, respectivamente. Demais países afetados são Colômbia (35º), Chile (40º), Paraguai (48º), Equador (50º), Uruguai (54), Argentina (62º), Peru (66º) e Cuba (75º).
A infecção do Emotet ocorre por meio de campanhas de e-mails (spam) com arquivos do Microsoft Office maliciosos (macro) que será responsável por criar um backdoor na máquina e executar diversas tarefas maliciosas, as principais dela fazem o seguinte:
- Perfil das máquinas infectadas. Uma das primeiras ações do Emotet é roubar dados básicos do equipamento infectado para criar um perfil. Com esses dados, o grupo saberá se a máquina é de um usuário comum ou de uma empresa/governo específico – isso determinará o uso/valor comercial de cada vítima.
- Roubo de cartões de crédito salvos no navegador. Este módulo afeta apenas o navegador Chrome e visa efetuar a venda das informações para grupos de fraudes financeiras.
- Roubo de credenciais salvas nos navegadores. Essa ação também usa a ferramenta da Nirsoft para capturar os logins e senhas salvos no navegador. Mesmo esses dados sendo criptografados no navegador, os criminosos conseguem burlá-la e obter acesso às informações confidenciais. A consequência vai depender do tipo de conta. Credenciais bancárias serão usadas para fraudes financeiras, logins de plataformas de streamings serão vendidas nos mercados ilegais, credenciais de lojas online serão usadas em fraudes comerciais etc.
- Roubo de cartões de crédito salvos no navegador. Este módulo afeta apenas o navegador Chrome e visa efetuar a venda das informações para grupos de fraudes financeiras.
- Acesso à máquina via backdoor. Este se tornou o serviço mais rentável do grupo e é onde a criação do perfil das máquinas infectadas se torna mais importante, pois esses acessos são comercializados com grupos que estão efetuando ataques de ransomware. Ao comprar um acesso de um funcionário com direitos de administrador aos servidores, os grupos de ransomware só precisam copiar os dados e executar o bloqueio das máquinas, pois 80% do trabalho foi feito pelo Emotet.
“Há também um módulo de disseminação pela rede muito eficaz, o que faz com que a infecção “pule” de uma máquina para outra que esteja na mesma rede. Essa característica e a longevidade com que o malware permanece nas máquinas faz do Emotet uma das maiores botnet em atuação no mundo. Outra conclusão importante da nossa análise e que é importantíssimo destacar é que uma infecção pelo Emotet é um grande alerta para um potencial ataque de ransomware”, destaca Fabio Marenghi, analista sênior de segurança da Kaspersky no Brasil.
Para evitar a infecção pelo Emotet, os especialistas da Kaspersky recomendam:
- Cuidado ao abrir arquivos Office (Excel e Word) que foram enviados por e-mail. Cheque o remetente e o nome do anexo. Muitos malware se escondem por atrás de boletos ou promoções, mas o remetente nunca condiz com a isca do spam/phishing. Neste caso, jamais abra o arquivo.
- Para empresas, muitos anexos se disfarçam de pedido de orçamento ou currículo. A mesma dica de revisar as informações é válida, mas em alguns casos, o funcionário terá a “obrigação” de abrir a isca. Neste caso, garanta que a solução de segurança consiga bloquear programas maliciosas que usam o PowerShell e outras ferramentas legítimas.
- Mantenha todos os programas e sistemas operacionais atualizados para evitar que o Emotet explore vulnerabilidades neles para se infiltrar no equipamento.
- Não salve senhas nos navegadores, pois os criminosos conseguem acessar essa informação. Para agilizar o acesso a serviços e páginas online, use um gerenciador de senhas como o Kaspersky Password Manager, pois essas ferramentas usam criptografia moderna que não pode ser burlada.
Proteja todos os dispositivos domésticos ou da empresa com uma solução de segurança confiável, como o Kaspersky Plus (doméstico), o Kaspersky Endpoint Security Cloud (para pequenas empresas) ou o Kaspersky Endpoint Detection and Response (EDR – para médias e grandes corporações).
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, as infraestruturas mais críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de soluções e serviços de segurança especializados que visam combater as ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 240.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.