歐洲國際刑警成功搗破惡意木馬軟件Emotet,並透過其更新機制自動將「解藥」推送到受影響電腦,不過自動執行移除Emotet的時間卻設定在3月25日,為何網絡安全界的D Day要延後差不多兩個月而沒有選擇即時執行?原來有原因。
Emotet是過去十年最出名的惡意木馬軟件,以往它主要的功能是入侵企業內部網絡後,打開後門讓網絡罪犯可以自由出入,竊取公司的機密檔案及客戶資料。去年開始,Emotet更被發現與其他惡意軟件相結合,例如香港電腦保安事故協調中心(HKCERT)發表的報告便顯示,針對香港企業的攻擊,Emotet通常會與Trickbot及Ryuk聯手,後者更具備加密功能,可以進行勒索軟件攻擊,破壞力之大令人聞風喪膽。
不過,荷蘭執法部門上星期就宣布,將有可能在今年3月25日移除所有受感染電腦內的Emotet,可說是網絡安全防衛軍的D Day!事緣要同從歐洲刑警(Europol)早前的拘捕事件說起,當時歐洲刑警成功破獲Emotet背後的犯罪集團成員,並於全球8個國家鎖定其運作的控制中心。當中有三分之二存在荷蘭境內,執法機關成功進入控制中心後,便以一個假的Emotet更新檔放入控制中心,並透過Emotet的更新機制將它推送到所有受影響的電腦內,一到今年3月25日,程式就會自動執行,將電腦內的Emotet移除。
可能大家會問,為何這次行動要留到3月25日才執行,而不是即時移除?發言人指這次行動雖然可以救助受害者,並可阻止Emotet背後的網絡犯罪組織繼續竊取企業的機密資料,不過,已被竊取機密的企業就無力回天,所以現階段呼籲全球企業要認真調查網絡內有沒有電腦設備曾受到感染,如不幸中招,就要把握這段時間詳細調查外洩了哪些數據及研究處理方法,否則當程式於3月25日啟動並移除Emotet後,就會大大增加調查難度,所以延遲執行絕對合情合理。
