Emotet：医疗行业中最常见的特洛伊木马

重要信息要点

根据美国健康与人类服务部的，特洛伊木马是影响医疗行业计算机系统的最常见恶意软件，其中 Emotet 是最常见的变体。

尽管全球执法机构在 2021 年一月对 Emotet机器人网络进行打击，使用了“定时清除器”，但它在不到一年的时间内再次出现，并使用了改进的命令和下发能力。Emotet 操作者还开始使用 CobaltStrike，努力重建该机器人网络。

这款恶意软件，并且是持续时间最长的网络犯罪运营之一。Emotet 在 2019 年成为最具主导地位的恶意软件变体之一。

在过去，Emotet 已造成多个医疗机构受害，包括加利福尼亚大学旧金山分校，该校在 2020 年 6 月支付了 114 万美元，以换回其医学院被窃的数据。

在 2020 年 12 月，Emotet 最后的几次活动中，观察到其每天发送超过 100,000封电子邮件，并利用了新的躲避策略。这一威胁的背后操作人员经常利用疫情相关的恐惧来设计攻击策略。

Emotet 以其躲避策略而闻名，运营商不断调整变体，以确保最有效的负载。在活跃时，它通常是最大的恶意电子邮件发送者之一。HC3 警告称，“要开始
Emotet 攻击，所需的只是用户在恶意文档中点击‘启用内容’以激活宏。”

此前的机器人网络活动和基础设施被用作全球范围内的主要通道，Emotet操作人员在暗网上向其他网络罪犯出售被攻击者网络的访问权。该恶意软件主要通过全自动的钓鱼过程发送，电子邮件中附有恶意的 Word 文档。

根据最新的，Proofpoint的研究人员观察到，操作人员似乎在测试针对 Microsoft OneDrive URL 的新策略。他们观察到一小部分恶意电子邮件通过 OneDriveURL 分发 Emotet。这些策略的使用偏离了典型的 Emotet 行为，表明该团队正在测试新的攻击技术。

当前，报告和 HC3 研究人员已发现 Emotet 是对医疗目标的最强大特洛伊木马。正在进行的攻击活动主要针对日本，但北美仍然是频繁的目标。

鉴于对该行业可能造成的影响，HC3 促请医疗服务组织检视该报告及攻击细