Δύο εβδομάδες αφότου η Γαλλία, η Ιαπωνία και η Νέα Ζηλανδία εξέδωσαν προειδοποιήσεις για την αύξηση της δραστηριότητας του Emotet, δημοσιεύθηκαν νέες προειδοποιήσεις την προηγούμενη εβδομάδα από την Ιταλία, την Ολλανδία, αλλά και τη Microsoft. Αυτές οι νέες προειδοποιήσεις έρχονται καθώς η δραστηριότητα του Emotet συνεχίζει να αυξάνεται σε αξιοσημείωτο βαθμό, με αποτέλεσμα να επισκιάζει την δραστηριότητα οποιουδήποτε άλλου malware υφίσταται σήμερα στο τοπίο των απειλών.
Ο Joseph Roosen, μέλος της Cryptolaemus, μιας ομάδας ερευνητών ασφαλείας που παρακολουθούν εκστρατείες του Emotet malware, δήλωσε χθες στο ZDNet ότι έχει παρατηρηθεί έντονο Emotet spam το τελευταίο διάστημα. Ο Roosen επεσήμανε πως εδώ και δύο εβδομάδες λαμβάνει περίπου 400 email ημερησίως, ενώ συνήθως λάμβανε από δώδεκα έως 100.
Το Emotet, που είναι μακράν το μεγαλύτερο malware botnet, ήταν αδρανές από τον Φεβρουάριο έως τον Ιούλιο του 2020, που έκανε την επιστροφή του. Οι χειριστές του επεδίωκαν μια γρήγορη επιστροφή στο τοπίο των απειλών, αλλά τα σχέδιά τους χάλασαν κι έτσι η επιστροφή του Emotet καθυστέρησε περίπου ένα μήνα, καθώς ένας χάκερ εισέβαλε στην υποδομή τους και αντικατέστησε το malware με GIFs.
Αυτό, ωστόσο, δεν κράτησε πολύ, αφού οι χειριστές του Emotet βρήκαν τελικά έναν τρόπο να σταματήσουν τον χάκερ και τώρα έχουν πλέον τον πλήρη έλεγχο του botnet τους, το οποίο χρησιμοποιούν για να δημιουργούν όλο και περισσότερα spam emails σε καθημερινή βάση.
Αυτά τα spam emails συνοδεύονται από κακόβουλα αρχεία, τα οποία μολύνουν τον κεντρικό υπολογιστή με το Emotet malware. Οι χειριστές του Emotet πωλούν στη συνέχεια πρόσβαση στους μολυσμένους κεντρικούς υπολογιστές σε άλλες hacking συμμορίες, συμπεριλαμβανομένων χειριστών ransomware. Πολλές φορές, και ειδικά σε μεγάλα εταιρικά περιβάλλοντα, μια μόλυνση από το Emotet μπορεί να μετατραπεί σε ransomware επίθεση μέσα σε λίγες ώρες.
Αυτός είναι ο λόγος για τον οποίο οι υπηρεσίες κυβερνοασφάλειας, οι ομάδες CERT (Computer Emergency Response Teams) στη Γαλλία, την Ιαπωνία, τη Νέα Ζηλανδία, την Ιταλία και την Ολλανδία, αλλά και η Microsoft, αντιμετωπίζουν τις spam εκστρατείες του Emοtet με ανησυχία και προβληματισμό, ενώ εκδίδουν επίσης προειδοποιήσεις προς τις εταιρείες, παρακινώντας τις να ενισχύσουν την άμυνά τους για να αποφύγουν το spam του Emotet.
Αξίζει να σημειωθεί ότι το Emotet malware έχει μια μεγάλη ποικιλία στις spam επιχειρήσεις του. Ο Roosen, ο οποίος παρακολουθεί το botnet εδώ και χρόνια, ανέφερε ότι το Emotet χρησιμοποιεί από τον Οκτώβριο του 2018 μια τεχνική που ονομάζεται “email chains” ή “hijacked threads”. Η τεχνική βασίζεται στη συμμορία του Emοtet malware που κλέβει πρώτα μια υπάρχουσα αλυσίδα email από έναν μολυσμένο κεντρικό υπολογιστή και στη συνέχεια απαντά στην αλυσίδα email με τη δική της απάντηση, χρησιμοποιώντας μια πλαστογραφημένη ταυτότητα, ενώ προσθέτει επίσης ένα κακόβουλο έγγραφο, ελπίζοντας να παρακινήσει τους συμμετέχοντες στην αλυσίδα email να ανοίξουν το αρχείο και να “μολυνθούν”. Πρόκειται για μία έξυπνη αλλά και αποτελεσματική τεχνική, η οποία αναλύθηκε σε μία έκθεση της Palo Alto Networks που δημοσιεύθηκε χθες.
Ωστόσο, οι προειδοποιήσεις από τη Microsoft και τις ιταλικές αρχές κάνουν λόγο και για μια άλλη πρόσφατη αλλαγή στις spam εκστρατείες του Emotet malware, οι οποίες τώρα αξιοποιούν επίσης αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης, αντί για έγγραφα του Office. Ο λόγος για τον οποίο γίνεται αυτό είναι επειδή με τη χρήση αρχείων που προστατεύονται με κωδικό πρόσβασης, τα email security gateways δεν μπορούν να ανοίξουν το αρχείο για να σαρώσουν το περιεχόμενό του και επομένως, δεν μπορούν να εντοπίσουν ίχνη του Emotet malware μέσα.
Τέλος, ο Roosen επεσήμανε ότι η συμμορία του Emοtet χρησιμοποιεί αυτήν την τεχνική με φειδώ από τα μέσα του 2019, αλλά πρόσφατα άρχισε να την χρησιμοποιεί πιο έντονα στις spam εκστρατείες του Emotet. Αυτός ακριβώς είναι και ο λόγος που η Microsoft και άλλοι φορείς αντιδρούν τώρα στο ξαφνικό του “ξέσπασμα”.
