全球最危險殭屍網絡Emotet的末日終於來臨

歐洲刑事組織（Europol）和歐洲司法合作組織（Eurojust）在2021年1月採取聯合行動，強制關閉過去十年全球其中一個惡名昭彰的殭屍網絡 Emotet^[1]。有網絡保安研究人員亦證實，已經透過Emotet更新機制向受感染裝置推送「自我卸載」模組，指令有關裝置於2021年4月25日自動卸載Emotet程式 ^[2]。是次執法行動以及Emotet自我卸載模組，標誌著這個作惡多時的殭屍網絡即將告一段落。

什麼是Emotet？

Emotet於2014年最早被發現，最初只是一種銀行木馬程式，透過附有惡意JavaScript的垃圾郵件（即malspam），試圖潛入電腦中盜取敏感資料。其後的進化版本使用有巨集的文件檔來隱藏惡意程式碼。Emotet在過去數年不斷被網絡不法份子更新，以提高其隱藏性、持續性，以及加添新功能來擴大感染範圍。 Emotet擁有全自動化的傳播能力，會使用不同名稱的釣魚電郵附件（如發票，運輸通知等），然後發送到受害者的電腦。一旦受害者打開了附件，惡意程式便會立即執行，程式會安裝其他惡意軟件到受害者的電腦。

近年來Emotet的影響

有保安研究人員發現，後期的Emotet會加載勒索軟件和其他類似蠕蟲的銀行木馬程式，對受影響的系統造成實際損害 ^[3]。 其他事故當中，Emotet會偽裝成殘疾人福利服務機構，向潛在的受害者發送電郵，附有類似「 感染報告」的文件檔，以載入惡意軟件 ^[4]。在2020年，Emotet更借2019 冠狀病毒病之名發動攻擊。

過去數年，Emotet的攻擊遍及全球，個人、公司甚至世界各地政府皆遭受沉重損失，其中以2019年針對德國城市法蘭克福的攻擊為最嚴重的一次。當時，為了阻止Emotet在市內進一步傳播，當地被迫要關閉資訊網絡一周，^[5]。

保安建議

HKCERT多年來一直監察著Emotet在香港的傳播情況，並不時地提醒相關的互聯網服務供應商（ISP）提高警覺。儘管Emotet已被海外執法機構搗破，但HKCERT仍敦促公眾和機構對任何惡意軟件攻擊保持警惕，並採用下列防禦建議：

1. 切勿打開來自不知名發件人的電郵附件。 在打開任何附件之前，仔細檢查發件人和內容，以確保電子郵件的真確性；
2. 定期更新系統；
3. 安裝及更新保安軟件和病毒識別碼；
4. 使用高強度的密碼；以及
5. 盡可能啟用雙重認證。

參考連結：

[1] https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

[2] https://www.bleepingcomputer.com/news/security/europol-emotet-malware-will-uninstall-itself-on-april-25th/

[3] https://www.malwarebytes.com/emotet/

[4] https://www.hkcert.org/blog/watch-out-for-phishing-attacks-using-false-information-on-infectious-disease

[5] https://www.zdnet.com/article/frankfurt-shuts-down-it-network-following-emotet-infection/