Ранее сообщалось, что ботнет Emotet, признанный одной из главных существующих киберугроз, возобновил свою активность после полугодовой паузы. Теперь стали известны причины этой «передышки», которую неожиданно получили IT-специалисты и борцы с киберугрозами, которым практически в ежедневном режиме приходится противостоять атакам Emotet. Поблагодарить за случившееся следует Джеймса Куинна, сотрудника компании Binary Defense и члена объединения «белых» или «этических» хакеров Cryptolaemus.
В начале февраля, изучая очередное обновление вредоносного ПО Emotet, Куинн обнаружил в нем уязвимость. Следует понимать, что специалисты по кибербезопасности очень осторожно относятся к такого рода находкам. Созданный для них эксплойт может нанести вред не только самому зловреду, но и инфицированным им системам, а потому атаковать вредоносное ПО – очень рискованная задача. Но последовательно изучив серию обновлений для Emotet, Джеймс Куинн смог создать эксплойт, который защищал системы от заражения и обезвреживал зловред на уже инфицированных устройствах без ущерба для последних. Созданный им PowerShell-скрипт разрушал механизм персистентности Emotet: вредоносное ПО просто переставало работать после перезагрузки.
Не менее сложной была и следующая задача: эксплойт предстояло распространить максимально широко, но при этом избежав любой огласки, чтобы о нем не узнали операторы Emotet. Куинн и Binary Defense обратились за помощью к компании Team CYMRU, обладающей большим опытом борьбы с ботнетами и широкими связями. В результате средство борьбы с Emotet успели получить 125 национальных центров реагирования на киберугрозы и более 6 тысяч подписчиков рассылки Team CYMRU. Все это время операторы Emotet постоянно выпускали все новые обновления, отчаянно пытаясь понять причину своих проблем. Лишь через 6 месяцев они обнаружили уязвимость и ликвидировали ее. Теперь ботнет вновь набирает силу, но эта история – редкий пример того, как специалисты по кибербезопасности смогли перехватить инициативу у создателей зловредов.
И еще одна любопытная деталь. Джеймс Куинн обратился в некоммерческую организацию MITRE, которая регистрирует уязвимости ПО и присваивает им идентификаторы CVE (Common Vulnerabilities and Exposures). Там его заявку отклонили. Пожалуй, напрасно – Emotet мог бы стать первым в истории зловредом с собственным CVE-идентификатором.