Emotet nedir?
Emotet, spam e-postalar (malspam) yoluyla yayılan, bilgisayarınıza gizlice girerek hassas ve özel bilgileri çalmaya çalışan bir bankacılık Truva Atı ‘dır. İlk olarak 2014 yılında güvenlik araştırmacıları tarafından tanımlanan Emotet’ in bulaşması, kötü amaçlı komut dosyası, makro etkin ofis dosyaları veya kötü amaçlı bağlantılar yoluyla olur. Emotet e-postaları, gerçek bir e-posta gibi görünecek şekilde tasarlanmış tanıdık marka ya da firma isimleri içerir. “Faturanız”, “Ödeme Ayrıntıları” veya muhtemelen tanınmış kargo şirketlerinden gelecek bir gönderi hakkında cazip bir dil kullanarak kullanıcıları kötü amaçlı dosyaları tıklamaya ikna etmeye çalışır.
Emotet, aktif hale geçmek için bir dizi hile kullanır. Özellikle, bir sanal makine (VM) içinde çalışıp çalışmadığını bilir ve siber güvenlik araştırmacılarının güvenli, kontrollü bir alanda kötü amaçlı yazılımları gözlemlemek için kullandıkları bir araç olan sanal alan ortamı algılarsa uykuda kalır.
Emotet, güncellemeleri almak için C&C sunucularını da kullanır. Bu, PC’nizdeki işletim sistemi güncellemeleriyle aynı şekilde çalışır ve sorunsuz bir şekilde ve herhangi bir dış işaret olmaksızın gerçekleşebilir. Bu, saldırganların yazılımın güncellenmiş sürümlerini yüklemelerine, diğer bankacılık Truva atları gibi ek yüklemelere veya finansal kimlik bilgileri, kullanıcı adları ve parolalar ve e-posta adresleri gibi çalınan bilgiler için bir çöplük görevi görmesine olanak tanır.
Emotet nasıl yayılır?
Emotet ‘in birincil dağıtım yöntemi spam maillerdir. Emotet, kişi listenizi arar ve kendisini arkadaşlarınıza, ailenize, iş arkadaşlarınıza ve müşterilerinize gönderir. Bu e-postalar, ele geçirilen e-posta hesabınızdan geldiğinden, e-postalar daha az spam gibi görünür ve kendilerini güvende hisseden alıcılar, kötü amaçlı URL’leri tıklamaya ve virüslü dosyaları indirmeye daha yatkın olur. Bu mesajlar genellikle kullanıcıları ikna etmek için tanınmış ve güvenilir şirketlerin e-posta biçimini taklit edecek şekilde tasarlanmış tanıdık markalar içerir.
Bağlı bir ağ varsa, Emotet, bir kaba kuvvet saldırısında diğer bağlı sistemlere doğru yolunu tahmin ederek ve ortak şifrelerin bir listesini kullanarak yayılır. Çok önemli insan kaynakları sunucusunun parolası yalnızca “parola” ise, Emotet muhtemelen şifreyi bulacak ve yoluna devam edecektir.
Emotet ‘in Tarihçesi
İlk olarak 2014’te tanımlanan Emotet, sistemlere bulaşmaya ve bugüne kadar kullanıcılara zarar vermeye devam ediyor.
Emotet ‘in birinci versiyonu, internet trafiğine müdahale ederek banka hesap detaylarını çalmak için tasarlandı. Kısa bir süre sonra, yazılımın yeni bir sürümü tespit edildi. Emotet ‘in ikinci sürümü olarak adlandırılan bu sürüm, para transfer sistemi, kötü amaçlı spam modülü ile Alman ve Avusturya bankalarını hedefleyen bir bankacılık modülü de dahil olmak üzere çeşitli modüllerle paketlenmiş olarak geldi.
2015 yılının ocak ayında, sahnede Emotet ‘in yeni bir versiyonu ortaya çıktı. Üçüncü sürüm, kötü amaçlı yazılımın tarama altında hareket etmesini sağlamak için tasarlanmış gizli değişiklikler içeriyordu ve İsviçre bankacılık sistemi hedefe eklendi.
2018’de Emotet Truva Atı’ nın yeni sürümleri, virüslü makinelere diğer kötü amaçlı yazılımları yükleme özelliğini içerir hale geldi. Bu kötü amaçlı yazılım, diğer Truva atlarını ve fidye yazılımlarını içerebiliyordu.
2019 Emotet için nispeten sesiz geçti. Ancak şu an güçlü bir şekilde geri döndü. Malwarebytes Labs, “Ödeme Havalesi Tavsiyesi” ve “Gecikmiş fatura” gibi kurnazca yazılmış konu bilgileriyle Alman, Polonyalı, İtalyan ve İngiliz kurbanları hedefleyen botnet odaklı bir spam kampanyası bildirdi. Virüs bulaşmış Microsoft Word belgesinin açılması bir makro başlatıyordu ve bu da güvenliği ihlal edilmiş WordPress sitelerinden Emotet ‘i indiriyordu.
Emotet Nasıl Çalışır?
Genellikle nakliye faturaları veya banka havalesi ayrıntıları gibi görünen mailler ile kullanıcıları çeşitli bağlantılara tıklamaya ikna eder.
Kullanıcı yemi aldığında ve virüs ağa girer ve bileşenlerini indirmeye devam eder. Bunlar, kurbanlarla ilgili ayrıntıları içeren bir yapılandırma dosyasının yanı sıra tüm sistem süreçlerine enjekte edilen bir DLL ‘i (Dinamik Bağlantı Kitaplığı) içerir.
.dll dosyası bir tarayıcıya bulaştığında, kullanıcının girdilerini kaydetmeye ve verilerinizi çalmaya başlar. Bu, güvenli bir HTTPS bağlantısına erişiyor olsanız bile gerçekleşebilir.
Web sitesi bileşenleri Emotet indirmeleri, normal kullanıcıların nadiren kontrol ettiği ayrı şifreli kayıt defteri girişlerinde saklanır. Kötü amaçlı etkinlik bu nedenle çatlaklardan geçebilir ve dosya tabanlı antivirüs algılamasından kurtulabilir.
Emotet ‘in yıllar içinde adapte olduğu ve geliştiği, sürekli olarak tespit edilmekten kurtulduğu gözlemlenmiştir.
Emotet kimi hedefliyor?
Herkes Emotet için bir hedeftir. Emotet bugüne kadar Amerika Birleşik Devletleri ve Avrupa’daki bireyleri, şirketleri ve devlet kurumlarını vurarak bankacılık girişlerini, finansal verileri ve hatta Bitcoin cüzdanlarını çaldı.
PA, Allentown Şehri’ne yapılan kayda değer bir Emotet saldırısını temizlemek için Microsoft’un olay müdahale ekibinden doğrudan yardım alındı ve bildirildiğine göre düzeltmek için 1 milyon dolardan fazla para harcandı.
Emotet ‘in ilk sürümleri, Almanya’daki bankacılık müşterilerine saldırmak için kullanıldı. Emotet ‘in sonraki sürümleri Kanada, Birleşik Krallık ve Amerika Birleşik Devletleri’ndeki kuruluşları hedef aldı. Ancak Emotet, artık diğer bankacılık Truva atlarını indirmek için kullanıldığından hedefler listesi potansiyel olarak daha da genişlemiş durumda.
Kendimi Emotet ‘ten nasıl koruyabilirim?
Emotet ‘in nasıl çalıştığını öğrenerek kendinizi ve kullanıcılarınızı Emotet ‘ten korumaya yönelik ilk adımı zaten atıyorsunuz. İşte uygulayabileceğiniz birkaç ek adım:
- Microsoft Windows için en son yamalarla bilgisayarınızı öncelikle güncel tutmalısınız. Siber suçlular açıklardan faydalanmadan önce güvenlik açıklarını yamalayın.
- Şüpheli ekleri indirmeyin veya hileli görünen bir bağlantıya tıklamayın. Bu şüpheli e-postalardan kaçınırsanız, Emotet sisteminizde veya ağınızda ilk adımı atamaz. Kullanıcılarınızı kötü amaçlı spam ‘i nasıl tespit edecekleri konusunda eğitmek için zaman ayırın.
- Kendinizi ve kullanıcılarınızı güçlü parola oluşturma konusunda eğitin. İki faktörlü kimlik doğrulamayı kullanmaya başlayın.
- Çok katmanlı koruma içeren sağlam bir siber güvenlik programı ile kendinizi ve kullanıcılarınızı Emotet ‘ten koruyabilirsiniz. Güncel antivirüs yazılım ürünleri, Emotet ‘i gerçek zamanlı olarak algılar ve engeller.
Şirketime Kötü Amaçlı Emotet Yazılımı Bulaştı. Şimdi ne olacak?
Tüm önlemleri almanıza rağmen, kötü amaçlı yazılım bulaşmaları hala meydana gelebilir. Emotet tarafından enfekte olduğunuzdan şüpheleniyorsanız, korkmayın.