Több mint 200 változat naponta – az Emotet a legaktívabb trójai kampányok közé tartozik. A G DATA 2019 első felében több változatot fedezett fel, mint 2018-ban összesen. A kártevő kedvelt célpontjait jelentik a vállalkozások, ahol jellemzően ipari kémkedésre használják fel.
A G DATA blogján közel egy éve, 2018 augusztusában írtunk az Emotet trójai egyik variánsáról, melyet első látásra hibás kódnak, nem pedig kártevőnek véltek a szakemberek. Akkor a Word online felületére megszólalásig hasonlító weboldal segítségével, pénzt ígérve próbálták rávenni a felhasználókat, hogy futtassák a kártevőt telepítő Word makrót.
Ipari kémkedésre is használják
Az Emotet trójai szerepe a jelenleg is futó kártevő kampányokban álcázva rést törni a vállalati vagy magánfelhasználók védelmén, majd bejuttatni a valós kárt okozó kódot. Így az elsődleges fertőzés után a tényleges kárt már például a Trickbot vagy Ryuk zsarolóvírusok okozhatják. Ahogy az Emotet trójait előszeretettel használják célzott ipari kémkedésre is, ami a vállalatok számára rossz hír.
A G DATA szakértői 2019 első felében a kártevő 33 ezer variánsát észlelték, 2018 teljes egészében csupán 28 ezret. A bűnözők egyre gyakrabban és gyorsabban változtatják a kártevőket az úgynevezett kripter csomagolók segítségével, melyek új kinézetet adnak a kártevőknek és igyekeznek azt elrejteni a víruskeresők elől.
A támadások egyre hihetőbbek
Az Emotet trójai nemcsak az új variánsok mennyisége miatt veszélyes. Tim Berghoff, a G DATA biztonsági szakértője szerint a háttérben a bűnözők a legfrissebb technológiákat használják annak érdekében, hogy támadásaik egyre hihetőbbek legyenek – legyen az a technológia a gráf alapú adatbázisok vagy a mesterséges intelligencia. A támadás kezdetét jelentő kéretlen levelek is egyre hihetőbbek, személyre szabottak, például már nem egy „nigériai herceg” nevében érkeznek, hanem normális üzleti levélnek álcázzák őket, még a szakavatott szemek is nehezen szúrják ki, hogy adathalászatról van szó. Az ilyen kártevők ellen kizárólag mesterséges intelligencia segítségével lehet védekezni, ezért dolgoztuk ki a Deep Ray technológiát, amely a gyorsan mutálódó kártevőket is képes azonnal felfedezni, így ellenük védelmet nyújt. A kockázati tényező kiszámításához az új DeepRay technológia 150 különböző jellemzőt vesz figyelembe, beleértve például a fájl méretét, a benne foglalt programkódot vagy a programozási környezetet, amelyet a fájl létrehozásához használtak. Az adatokat egy neurális hálózat elemzi, amely képes a tanulásra, így folyamatosan elraktározza az előző vizsgálatok eredményét, majd az új kódok elemzésében ezeket az eredményeket felhasználja.