歐洲刑警組織(Europol)、歐洲司法組織(Eurojust)、荷蘭、德國、美國、英國、法國、立陶宛、加拿大及烏克蘭等8國,合作瓦解Emotet殭屍網路。
歐洲刑警組織指出,Emotet殭屍網路之基礎設施涉及全球各地數百台伺服器,各具有不同功能,用於管理受害電腦、散布Emotet殭屍網路及提供其他犯罪組織服務,同時該殭屍網路之架構極具彈性,可避免因執法單位介入導致運作中斷的情形,因此增加執法單位瓦解其基礎設施之難度。
為瓦解Emotet殭屍網路,執法單位制定有效策略,取得Emotet殭屍網路之基礎設施控制權,已受Emotet殭屍網路感染之電腦,會被重新導向連線至由執法單位控管之基礎設施。此外,根據外媒報導指出,Emotet殭屍網路有3台主要控制伺服器,其中有2台位於荷蘭境內,荷蘭執法單位取得控制權後,以Emotet殭屍網路更新檔方式,置入控制伺服器,透過其更新機制,派送至所有受感染電腦,將於4月25日自動執行程式,移除Emotet殭屍網路。
對於延遲移除Emotet殭屍網路,資安廠商Binary Defense說明此行動雖可阻止駭客組織利用Emotet殭屍網路持續竊取企業之機密資料,惟已受駭組織須清查外洩之數據資料與是否遭植入其他惡意程式,若移除Emotet殭屍網路,將會增加調查難度。
資料來源:
https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action
https://www.politie.nl/nieuws/2021/januari/27/11-internationale-politieoperatie-ladybird-botnet-emotet-wereldwijd-ontmanteld.html
https://www.zdnet.com/article/authorities-plan-to-mass-uninstall-emotet-from-infected-hosts-on-april-25-2021/