Ο Οργανισμός Ασφάλειας στον κυβερνοχώρο και η ασφάλεια των υποδομών του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (CISA) εξέδωσαν μια προειδοποίηση για την τεράστια αύξηση της δραστηριότητας της συμμορίας πίσω από το Emotet.
Ιστορικά, το botnet spam Emοtet έχει συνδεθεί με τη διασπορά τραπεζικών trojans, αλλά αυτές τις μέρες διασπείρει spam με malware και στη συνέχεια πωλεί πρόσβαση σε μολυσμένους υπολογιστές σε οποιαδήποτε εγκληματική ομάδα, συμπεριλαμβανομένων των χειριστών ransomware.
Η Microsoft, η Ιταλία και η Ολλανδία εξέδωσαν προειδοποίηση τον περασμένο μήνα για την απότομη αύξηση της δραστηριότητας κακόβουλου ανεπιθύμητου περιεχομένου της συμμορίας Emotet, η οποία πραγματοποιήθηκε λίγες εβδομάδες αφότου η Γαλλία, η Ιαπωνία και η Νέα Ζηλανδία εξέδωσαν τις ειδοποιήσεις τους σχετικά με το Emotet.
Το Emotet ήταν ήσυχο μετά τον Φεβρουάριο, αλλά επέστρεψε δυναμικά τον Ιούλιο. Η CISA περιγράφει το Emotet ως “εξελιγμένο trojan που λειτουργεί συνήθως ως downloader ή dropper άλλων κακόβουλων προγραμμάτων” και “μία από τις πιο διαδεδομένες συνεχιζόμενες απειλές”.
Η εκτίμηση της CISA είναι κατανοητή δεδομένου ότι το Emotet θεωρείται σήμερα ως το μεγαλύτερο botnet malware στον κόσμο.
Από τον Αύγουστο, η CISA και η MS-ISAC έχουν παρατηρήσει επιτιθέμενους που στοχεύουν πολιτειακές και τοπικές κυβερνήσεις με phishing emails Emotet.
Το Emotet εξαπλώνεται με χαρακτηριστικά τύπου worm μέσω συνημμένων στα phishing email ή συνδέσμων που φορτώνουν συνημμένο phishing. Μετά το άνοιγμα, το Emοtet “δουλεύει” για να εξαπλωθεί σε ένα δίκτυο μαντεύοντας τα admin credentials και χρησιμοποιώντας τα για να δώσει στον εισβολέα τη δυνατότητα να μετακινηθεί πλευρικά μέσω ενός δικτύου.
Η CISA αναφέρει ότι από τον Ιούλιο, το εσωτερικό σύστημα ανίχνευσης εισβολής για ομοσπονδιακά και πολιτικά δίκτυα εκτελεστικών υποκαταστημάτων έχει εντοπίσει περίπου 16.000 ειδοποιήσεις που σχετίζονται με τη δραστηριότητα του Emοtet.
Η Microsoft τον Σεπτέμβριο παρατήρησε ότι η συμμορία του Emotet χρησιμοποιούσε επίσης συνημμένα ZIP στα email που προστατεύονταν με κωδικό πρόσβασης.
Ένα άλλο τέλειο τέχνασμα που χρησιμοποιείται αυτή τη στιγμή από την συμμορία του Emοtet είναι το hijacking σε “email threads”. Η ομάδα του Emοtet αρπάζει μια υπάρχουσα αλυσίδα email από έναν μολυσμένο host και απαντά στο thread επισυνάπτοντας ένα επιπλέον κακόβουλο έγγραφο.
Πηγή πληροφοριών: zdnet.com
