نشاط شبكة Emotet الضارة ينمو ثلاثة أضعاف في شهر واحد فقط
ظهرت شبكة Emotet الضارة ، والتي تُعدّ أخطر البرمجيات الخبيثة في العالم، وفقًا لمنظمة الشرطة الأوروبية (يوروبول)، نموًا عالميًا تجاوز 200% في شهر مارس 2022، وفقًا لقياسات كاسبرسكي. ويشير هذا النمو إلى أن الجهات الناشطة في مجال التهديدات الرقمية، والكامنة وراء شبكة الخطرة هذه، قد اتخذت خطوات لتحقيق زيادة كبيرة في نشاطها التخريبي، وذلك لأول مرة منذ عودتها في نوفمبر 2021. وقد وردت هذه النتائج في أحدث تقارير كاسبرسكي البحثية التي تشرح عمل وحدات Emotet ونشاطها الراهن.
ولا تقتصر Emotet على كونها شبكة تتألف من مجموعات من الأجهزة المصابة التي تشنّ هجمات على أجهزة أخرى سليمة، ولكنها أيضًا برمجية خبيثة قادرة على أن تستخرج من الأجهزة المصابة أنواعًا مختلفة من البيانات، غالبًا ما تكون مالية. وأصبحت هذه الشبكة من أبرز جهات التهديد في عالم الجريمة الرقمية. وكانت الشبكة أُغلقت بعد جهود مشتركة بذلتها جهات إنفاذ القانون في عدّة دول في يناير 2021، لكنها استطاعت في نوفمبر من العام نفسه أن تعود وتزداد نشاطًا بالتدريج. أولاً عن طريق الانتشار عبر شبكة أخرى Trickbot، ثمّ بمفردها حاليًا عبر حملات البريد.
وتُظهر قياسات كاسبرسكي أن عدد ضحايا شبكة Emotet ارتفع من 2,843 في فبراير إلى 9,086 في مارس الماضيين، أي أن أكثر من ثلاثة أضعاف عدد المستخدمين تعرضوا لهجمات هذه الشبكة في شهرٍ واحد. وزاد عدد الهجمات التي اكتشفتها حلول كاسبرسكي، بموازاة ذلك، من 16,897 إلى 48,597 هجومًا في المدة نفسها.
أعداد إصابات Emotet المكتشفة: نوفمبر 2021 – مارس 2022
وتبدأ الإصابة بتلقي المستخدم رسالة بريد إلكتروني تحتوي على ملف Microsoft Office يشتمل على “ماكرو” خبيث. وتستخدم جهة التهديد هذا الماكرو للشروع في تنفيذ أمر PowerShell لزرع أداة لتنزيل وحدات خبيثة وتشغيل هذه الأداة التي تتصل بعد ذلك بخادم القيادة والسيطرة وتبدأ في تنزيل الوحدات وتفعيلها. وتستطيع هذه الوحدات أن تؤدي مجموعة متنوعة من المهام على الجهاز المصاب. وقد تمكّن باحثو كاسبرسكي من استرداد 10 من أصل 16 وحدة وتحليلها، وكانت Emotet استخدمت معظم هذه الوحدات في الماضي بشكل أو بآخر.
وبوسع الإصدار الحالي من Emotet إنشاء حملات مؤتمتة للبريد الإلكتروني، تنتشر عبر الشبكة المؤسسية من الأجهزة المصابة، وتستخرج رسائل البريد الإلكتروني وعناوينه من تطبيقات Thunderbird وOutlook وتجمع كلمات المرور من متصفحات الويب الشائعة، مثل Internet Explorer وMozilla Firefox وGoogle Chrome وSafari وOpera، وتجمع تفاصيل حسابات البريد الإلكتروني المختلفة.
وقال ألكسي شولمين الباحث الأمني لدى كاسبيرسكي، إن شبكة Emotet كانت متقدمة، واستطاعت أن توقِع بالعديد من الشركات والمؤسسات حول العالم، واصفًا عملية القضاء عليها بأنها كانت “خطوة مهمة لخفض مستوى التهديدات في جميع أنحاء العالم لأكثر من عام”. وأضاف: “لا يمكن مقارنة عدد الهجمات الراهنة بعد إحياء هذه الشبكة بالحجم السابق لعملياتها، لكن التغيير الحاصل في سماتها الديناميكية يشير إلى ارتفاع ملحوظ في نشاط مشغليها، ما من شأنه أن يزيد من احتمال انتشار هذا التهديد بشكل أكبر في الأشهر المقبلة”.
يمكن مشاهدة الفيلم الوثائقي حول القضاء على شبكة Emotet في صفحة Tomorrow Unlocked على “يوتيوب”. كما يمكن التعرف على المزيد حول وحدات Emotet على موقع Securelist.com.
ويوصي الخبراء الشركات والمؤسسات بالمسارعة إلى اتخاذ الإجراءات التالية للبقاء آمنة من Emotet والشبكات المماثلة:
الحرص على الاطلاع على المستجدات المتعلقة بشبكة Emotet، من خلال زيارة مركز موارد كاسبرسكي Kaspersky Resource Center، مثلًا، أو البحث عن تلك المستجدات بأية طريقة أخرى.
الامتناع عن تنزيل المرفقات المشكوك فيها والنقر فوق الروابط المشبوهة في رسائل البريد الإلكتروني. ويمكن محاولة الاتصال بالمرسل في حال الشك في كون رسالة البريد الإلكتروني مزيفة، لتجنب الخطر. كما ينبغي الامتناع تمامًا عن تشغيل أي “ماكرو” يُطلب تشغيله على ملف جرى تنزيله على الجهاز، مع ضرورة حذف الملف على الفور. ويمكن بهذه الطريقة منع Emotet من فرصة السيطرة على الجهاز.
الحرص على استخدام حلول المصادقة متعدّدة العوامل في الخدمات المصرفية الرقمية.
الحرص على تثبيت حلّ حماية متكاملة من الفيروسات والبرمجيات الخبيثة، مثل Kaspersky Internet Security، مع السماح له بفحص جهاز الحاسوب بانتظام بحثًا عن أية ثغرات أمنية.
الحرص على تحديث البرمجيات، بما يتضمن نظام التشغيل والتطبيقات، نظرًا لأن المهاجمين يسعون لاستغلال الثغرات الموجودة في البرمجيات المستخدمة على نطاق واسع، في محاولاتهم لاختراق الأجهزة.
الاستثمار في التدريب المنتظم للموظفين على التوعية بالأمن الرقمي والتعريف بأفضل الممارسات، مثل عدم النقر على الروابط أو فتح المرفقات الواردة من مصادر غير موثوق بها. كما يمكن بعد التدريب إجراء محاكاة لهجوم تصيّد، للتأكّد من ارتفاع وعي الموظفين ومعرفتهم كيفية التمييز بين رسائل البريد الإلكتروني الأصلية والمخادعة.