O malware Emotet era considerado uma das maiores ameaças cibernéticas atuais e chegou a impactar redes de diversas organizações globais no ano passado. Agora, o vírus para Windows enviado através de e-mails foi automaticamente deletado dos computadores infectados.
Essa destruição do malware aconteceu após uma ação envolvendo polícias europeias, chamada Operação Ladybird, que levou três meses para desenvolver a interrupção do vírus. O trabalho envolveu pelo menos 700 servidores associados à infraestrutura do botnet, cortando assim o mal por dentro e prevenindo mais explorações.
A ação colaborativa contou com autoridades de oito países: Holanda, Alemanha, Estados Unidos, Reino Unido, França, Lituânia, Canadá e Ucrânia – e a Europol. O malware foi identificado pela primeira vez em 2014, visto como um trojan simples, usado para roubar credenciais de contas bancárias.
Só depois que o Emotet se reinventou. Após infectar um computador, ele conseguia instalar outras ameaças, como o trojan bancário Trickbot e o ransomware Ryuk. Anteriormente, a polícia holandesa apreendeu dois servidores no pais.
Os holandeses também desenvolveram um software para contra-atacar a ameaça de forma efetiva. “Todos os sistemas de computadores infectados vão automaticamente recuperar a atualização, colocando a infecção pelo Emotet em quarentena”, informou a polícia da Holanda em janeiro.
Para a correção foi usado um payload de 32-bit chamado “EmotetLoader.dll”, através do mesmo canal usado para distribuir o vírus às máquinas comprometidas. A “limpeza” foi acionada automaticamente no dia 25 de abril, o último domingo. Ela também deletou uma chave de registro, encerrando o processo.
Rastreadores mostram que nenhum dos servidores do malware Emotet estão online. Mas, por enquanto, ainda é preciso ver se os botnets vão reagir no futuro ou continuar inoperantes.
Essa é a segunda vez em que autoridades de polícia agem em massa para remover malwares de computadores comprometidos, de acordo com o site The Hacker News. No começo deste mês de abril, o governo dos Estados Unidos deus os primeiros passos para remover ameaças aos servidores Microsoft Exchange, violados através do ProxyLogon
Após autorização da justiça, o FBI afirmou que está em processo de notificação às organizações que precisaram remover os vírus, insinuando que a agência de inteligência norte-americana acessou os sistemas sem ser notada.
FONTE: OLHAR DIGITAL