国际网络刑警成功联合打击僵尸网络Emotet

---

2021年1月，全球网络刑警成功破坏了在全球存活十年以上的规模最大的僵尸网络之一EMOTET。他们已通过国际协调行动控制了Emotet几乎所有的网络基础设施。 

这项行动是荷兰，德国，美国，英国，法国，立陶宛，加拿大和乌克兰当局之间共同努力的结果，而国际活动由欧洲刑警组织和欧洲司法组织协调。该操作是在欧洲打击犯罪威胁多学科平台（EMPACT）的框架内进行的。

 

EMOTET一直是最专业和一直活跃的网络犯罪服务之一。该恶意软件于2014年首次被发现为银行木马，多年来发展成为网络犯罪分子的首选解决方案。

要知道，EMOTET木马在感染了受害者并建立访问权限后，这些木马的控制者会将这些肉鸡（被控制的设备）出售给其他犯罪集团，而这些网络犯罪集团会进一步的部署其他恶意软件，例如通过勒索软件进行勒索，通过银行木马进行数据盗窃。这些下游的恶意软件典型代码便是勒索软件Ryuk和僵尸网络TrickBot。

因此，打击Emotet，相当于对肉鸡供应链的上游进行打击，可以有效地减缓其他网络犯罪的进行。

EMOTET幕后运营者主要通过电子邮件进行木马投递，目前已经实现完全自动化。

而投递者只需要专心研究制作什么邮件内容诱饵即可，像2020年全年与疫情相关的钓鱼邮件几乎有一大半都是Emotet幕后运营者所制作。

这些电子邮件都包含恶意的Word文档或者要求通过下载链接下回来的Word文档，主要以恶意宏代码为主，会要求你通过启用宏而触发恶意代码逻辑。

而本次全球网络刑警的打击，主要围绕着EMOTET使用的网络基础设施（例如域名）以及涉及世界各地的数百台服务器，所有这些服务器具有不同的功能，以便管理受害者的计算机、传播到新的计算机等。

目前，受害者的机器已被重定向到国际刑警掌握的网络设施中。

以下当局参与了此操作（可以mark）：

荷兰：国家警察（政界），国家检察院（Landelijk Parket）
德国：联邦刑事警察（Bundeskriminalamt），法兰克福/美因河畔总检察长办公室（Generalstaatsanwaltschaft）
法国：巴黎司法法院国家警察（国家警察）（巴黎司法法院）
立陶宛：立陶宛刑事警察局（Lietuvoskriminalinėspolicijos biuras），立陶宛总检察长办公室
加拿大：加拿大皇家骑警
美国：联邦调查局，美国司法部，北卡罗来纳州中区美国检察官办公室
英国：国家犯罪局，皇家检察署
乌克兰：总检察长办公室（ОфісГенеральногопрокурора）的乌克兰国家警察（НаціональнаполіціяУкраїни）。

此外，警方在办案过程中，查获了Emotet恶意软件收集的数据。这些受害者数据可能包括全球用户的电子邮件地址，用户名和密码，建议谨慎搜索。

地址：

https://www.politie.nl/themas/controleer-of-mijn-inloggegevens-zijn-gestolen.html

上一次被如此大规模搞的僵尸网络为Trickbot，详情可见：美国网络司令部联合网安技术公司围剿僵尸网络

上期:通过社交媒体针对安全研究人员的社会工程学攻击活动

这个事件的后续发展来看，Lazarus组织针对此事做了非常充足的准备，前期收集的漏洞研究人员的名单也很准确，包括搭讪的话术以及送0day漏洞到研究人员的心理战，真舍得孩子套得狼。