Iako je većina računarskih virusa i njihovih podvrsta dizajnirana da nanese štetu računarskim mrežama ili serverima, postoji i čitav niz zlonamjernih softvera koji imaju za cilj krađu podataka ili njihovu ‘otmicu’.
Ovakvi virusi posebno ciljaju banke, finansijske institucije i državne agencije, a cilj hakera je dobijanje otkupa u novcu ili, češće, digitalnim valutama poput bitkoina. Posljednjih godina, u gotovo svim velikim napadima se traži Bitcoin ili Ethereum digitalni novac, jer im je u praksi gotovo nemoguće ući u trag.
Virus sedam godina na internetu
Iako se za većinu računarskih virusa nađe i zakrpa (eng. patch) za manje od godinu dana od njihovog registrovanja, Emotet virus se čitavih sedam godina kretao putem interneta. Glavni cilj napada su bile banke širom Evropske unije, kao i nekoliko berzanskih i brokerskih kuća. Ovaj virus je unaprijeđena verzija starog malware virusa ‘Heodo.32’ (Cobalt.32) koji je imao i osobine trojanca. To znači da ovakvi virusi koriste druge datoteke, poput tekstualnih dokumenata, PDF fajlova, ili audio i video fajlova, kako bi se poput ‘trojanskog konja’ infiltrirali na ciljani računar ili server. Nove verzije trojanaca imaju i ‘backdoor’ funkciju, te ostavljaju otvorenu internet konekciju ka napadačima, koji mogu da kasnije preuzmu i potpunu kontrolu putem interneta.
Emotet virus je prvi put otkriven 2014. godine na serverima jedne njemačke banke. Analizom je utvrđeno da virus pokušava da se poveže na mrežu sastavljenu od više servera (Botnet). Jedan od servera je bio u Kijevu, u Ukrajini, dok su druga dva bila u Rusiji, u predgrađu Moskve. Virus se na računare banke proširio kao dodatak (attachment) e-mail poruke. Kada bi zaposleni kliknuli da preuzmu dodatak, on bi preuzeo i sam virus, ali bi se i iskopirao unutar lokalne mreže računara. Inače, ovo je najčešći oblik širenja malicioznog softvera unutar kompanija ili ustanova – zaposleni, obično bez mnogo razmišljanja, preuzmu fajl ili dokument koji stiže iz imejla (obično takvi mejlovi imaju naznaku Hitno ili Važno). Ne znajući, na taj način oni zaražavaju ne samo svoj računar, već i druge računare u kompaniji, kao i sve vrste prenosnih memorijskih uređaja (fleš drajvovi, memorijske kartice i slično).
Milionske štete od hakerskih napada
Emotet virus je od 2014. do 2019. godine detektovan na više od 180.000 računara širom svijeta, te najmanje 14.000 servera u zemljama EU. Ovakvi napadi ne samo da određeno vrijeme zaustavljaju rad kompanije ili banke već su i veoma skupi – potrebno je zamjeniti sve memorijske uređaje (hard i SSD diskove) unutar sistema, ponovo instalirati veliku količinu, često veoma skupog softvera i aplikacija, te zamjeniti mrežnu infrastrukturu.
Neke od podvarijanti Emotet/Cobalt.32 virusa su u stanju da se pritaje u memoriji mrežnih uređaja, poput rutera, odakle ih je praktično nemoguće obrisati, te je potrebno zamjeniti cijeli uređaj. Nakon početka pandemije 2020, kada je veliki dio bankarskih klijenata prešao na onlajn usluge, Emotet/Cobalt.32 je evoluirao u TrickBot/Qbot malware viruse, koji su u pozadini mogli da ukradu brojeve bankarskih kartica i šifre korisnika. Cobalt.32 Striker verzija je mogla da ukrade i digitalne ‘otiske prsta’ u vidu posebnih QR kodova, te da se na bankarski sistem prijavi kao potpuno autentični korisnik.
Evropska komisija procenjuje da je šteta od ovog virusa oko 2,5 milijardi eura, te da je virus u nekom obliku i dalje prisutan na još oko milion i po računara. Takođe, bankarski sektor je pretrpio štetu od najmanje 83 miliona eura.
Krajem 2020. i početkom 2021, hakerska grupa, koja stoji iza ovih virusa, je otišla i korak dalje – korisnik bi dobio naizgled autentični imejl od svoje banke, uz dokument ‘Form(ime_banke).doc’ ili ‘Invoice (ime_banke).doc’. Samo preuzimanje ovih dokumenata bi zarazilo računar pomenutim malwareom, ali bi takođe računar pretvorilo u ‘zombi računar’ – dio mreže koja dalje širi ovaj maliciozni softver (botnet).
Sredinom 2021, ova botnet mreža je bila kontrolisana sa velikog broja ‘parkiranih domena’ čije su IP adrese bile širom Rusije (parkirani domen je zakupljen prostor na internetu na kome još uvijek nema postavljene aktivne web prezentacije). Jedna grupa ovih domena se zvala ‘Epoch 1’, dok je druga nosila ime ‘Epoch Milenium’. I upravo je ovo ime za botnet mrežu stručnjacima otkrilo moguće ‘autore’. Naime, ova imena za interne servere je godinama koristila hakerska grupa ‘Mummy Spider’, sa članovima širom Ukrajine i Rusije. Vjeruje se da su članovi grupe nekadašnji ili još uvek aktivni pripadnici ruskih obavještajnih službi, te nekih rodova vojske. Takođe, ima i bivših pripadnika ukrajinskih bezbijednosnih službi, specijalizovanih za sajber ratovanje, koji su na ‘drugu stranu’ prešli iz finansijskih razloga. Američke agencije ovu grupu nazivaju ‘APT-542’, i smatraju da posjeduju čvrste veze sa ruskim ‘veteranima’ u svijetu sajber napada, grupom ‘Fancy Bear’, koju čine pripadnici i saradnici ruske obaveštajne službe FSB, te APT-29 ‘Nobelium’.
Globalna akcija protiv hakera
Evropska agencija Europol naziva Emotet i njegove podvarijante ‘najopasnijim računarskim virusom na svijetu’. U novembru prošle godine, velika akcija, koju je koordinisao Europol, uz učešće službi iz Nizozemske, Njemačke, SAD-a, Velike Britanije, Francuske, Litvanije, Kanade i Ukrajine je uspešno oborila veliki broj servera koji su bili temelj za širenje Emotet malware virusa. Nekoliko policijskih uprava unutar EU je pokrenulo i specijalni onlajn softver pod nazivom ‘Emocheck’, putem kojeg su korisnici mogli da provjere da li su njihovi podaci kompromitovani.
Europol upozorava da je Emotet i dalje prisutan u sajber prostoru, te da korisnici nikada ne bi trebalo da bez prethodne provjere preuzimaju tekstualne datoteke ili arhive (.zip i .rar) od nepoznatih ili sumnjivih pošiljalaca. Takođe, savetuje se da se nikada ne odgovara ili preuzima bilo šta sa e-mail poruka koje sadrže naslov ‘Hitno’ i traže da se preuzme neka datoteka ili sadrže link ka nekoj web adresi.
Od početka ruske agresije u Ukrajini i sami hakeri su ‘promenili taktiku’. Na hakerskim forumima na internetu se sada Emotet/Cobalt.32 nudi kao ‘usluga’ (SaS, Software as Service). Hakeri nude ‘uslugu’ napada ovim virusom na razne ustanove, po cijeni od pet bitkoina (oko 120.000 eura). Nekoliko ukrajinskih državnih agencija je već bilo napadnuto na ovaj način, kao i dvije kompanije u Letoniji.