全球執法機構自遠端移除傀儡網路Emotet，公布用來散布Emotet的逾430萬個電子郵件帳號

還記得歐洲刑警組織（Europol）與其它8個國家的執法機構在今年1月下旬，聯手破獲了Emotet殭屍網路嗎？為了預防Emotet起死回生，它們在本周日（4/25）自遠端關閉了受害系統上的Emotet功能，而美國聯邦調查局（FBI）則請Have I Been Pwned（HIBP）協助公布駭客用來散布Emotet的逾430萬個電子郵件帳號，以提醒不小心淪為駭客幫兇的使用者變更密碼。

最初身為金融木馬的Emotet可用來竊取受害者的機密資料，諸如存放在瀏覽器中的憑證，或是監聽網路流量，由於它同時具備常駐與網路傳播的特性，因而經常被駭客當作是入侵系統的缺口，還可用來下載包括勒索軟體等其它惡意程式，根據趨勢科技於2018年的統計，Emotet在全球至少建立了721個C&C伺服器。而在執法機構掃盪了Emotet之後，它們在Emotet的伺服器上發現，從2020年的4月1日到2021年的1月17日間，Emotet約感染了全球160萬台電腦，散布在全球逾50個國家。

儘管國際警方已經扣押了Emotet位於全球的伺服器，但為了預防Emotet的活動死灰復燃，執法機構決定自遠端關閉Emotet的運作。

初期媒體報導該遠端移除Emotet的行動是由荷蘭警方主導，但BleepingComputer近日卻說是由德國聯邦警察單位Bundeskriminalamt負責，至於美國司法部則僅說是由某個國外的執法機構負責。

根據美國司法部的說明，執法機構的作法是藉由置換伺服器上的Emotet惡意程式，以讓全球感染Emotet的系統在更新時，下載由執法機構所提供的版本，而新的版本並未移除受害系統上已經由Emotet植入的各種惡意程式，只是為了切斷Emotet對外的聯繫，讓建立Emotet殭屍網路的駭客無法再控制這些受害系統，也無法再於受害系統上安裝其它惡意程式。

其實執法機構早在接管Emotet伺服器時就訂定了該計畫，只是將觸發時間訂在4月25日。

另一方面，駭客散布Emotet惡意程式的主要管道是透過垃圾郵件，於郵件中夾帶惡意檔案或惡意連結，以誘導使用者點擊並下載/安裝惡意程式，且駭客所利用的是無辜使用者的電子郵件帳號與憑證，猜測是自外洩事件而來，而FBI在取得逾430萬的電子郵件帳號之後，即主動聯繫HIBP，透過HIBP的服務來提醒使用者。

HIBP服務允許使用者輸入自己的電子郵件帳號，以搜尋自己的帳號是否出現在任何的外洩資料庫中，但由於這次的意外被HIBP列為機密事件，只能執行範圍較大的網域搜尋，或是藉由必須驗證電子郵件帳號的通知服務，由HIBP主動通知遭到Emotet利用的電子郵件用戶。