欧洲刑警组织与8国警方合作拿下Emotet僵尸网络

近半年国际警方、IT业界对于僵尸网络的查缉动作频频，1月27日欧洲刑警组织（Europol）宣布，在欧美多个国家的-通力合作之下，他们切断了Emotet的基础设施运作，而这是全球最危险的僵尸网络之一。这起攻坚行动是荷兰、德国、美国、英国、法国、立陶宛、加拿大，以及乌克兰等国家，与欧洲刑警组织及欧洲检查官组织（Eurojust），进行国际合作的成果。

Emotet最早是在2014年被发现，当时它是以金融木马程式的形态发动攻击，背后的骇客组织是TA542（亦称Mummy Spider）。而这个恶意软件在多年发展之下，已经成为一个大型僵尸网络，并且变成骇客用来入侵电脑的常见管道。攻击者一旦藉其建立了未经授权的存取，便可以进一步窃取资料或是发动勒索软件攻击。在近期的攻击事件中，骇客经常运用Emotet来在受害电脑下载Qakbot（Qbot）与TrickBot，而后者更是受到勒索软件组织Ryuk与Conti大肆滥用。

Emotet是许多勒索软件攻击行动开端，根据CrowdStrike发布的《服务网络前线报告》所汇整的关连图，不只欧洲刑警组织提到的Ryuk，还有其他的勒索软件攻击也透过Emotet入侵受害电脑，包含了BitPaymer、DoppelPaymer、GradCrab、Revil等。（图片来源：CrowdStrike）

欧洲刑警组织指出，Emotet的基础设施涉及全球各地数百台服务器，而且它们都有不同的功能，不只控制受害电脑、散布Emotet病毒、提供其他犯罪组织服务，同时该僵尸网络的架构极具弹性，以防司法单位中断运作的情况。因此，想要完全阻断其基础设施，难度可说是相当高。而骇客滥用Emotet的情况时有所闻，欧洲刑警组织形容是近10年来最重大的僵尸网络之一。其中，乌克兰国家警察队宣布逮捕其中2名嫌犯。

在该僵尸网络遭到拿下之后，受到Emotet病毒感染的电脑，将会被重新导向，与司法机关控管的基础设施连线。根据ZDNet报导指出，荷兰执法机关正在更新该基础设施，来清除所有受害电脑的Emotet恶意软件。该新闻网站征询2家长期追踪Emotet的资安公司说法，他们指出荷兰警方很可能计划在3月25日零时，全面移除受害电脑的恶意软件。

All Emotet epochs now are delivering the payload (https://t.co/Tv21VmJm4s) which has the code to remove Emotet on 25 March 2021 12:00. I believe that #Emotet #Killed pic.twitter.com/FnrdqZmQcd

— milkream (@milkr3am) January 27, 2021

究竟Emotet的危害有多严重？根据资安厂商PhishLabs的研究结果，Emotet是近一年半最为泛滥的恶意软件，其次才是去年10月一度被阻断基础设施的TrickBot。该厂商指出，有接近30%勒索软件攻击的载入器（Loader），都是使用Emotet。