Το Emotet malware botnet φαίνεται πως κάνει comeback με τη βοήθεια του γνωστού Trickbot malware.
Το Emοtet malware θεωρούνταν κάποτε το πιο διαδεδομένο κακόβουλο λογισμικό. Οι χειριστές του χρησιμοποιούσαν spam καμπάνιες και κακόβουλα συνημμένα για τη διανομή του.
Στη συνέχεια, το Emotet χρησιμοποιούσε μολυσμένες συσκευές για να εκτελέσει άλλες spam καμπάνιες και να εγκαταστήσει άλλα payloads, όπως το QakBot (Qbot) και το Trickbot malware. Αυτά τα payloads χρησιμοποιούνταν για την παροχή πρόσβασης, για την ανάπτυξη ransomware, συμπεριλαμβανομένων των Ryuk, Conti, ProLock, Egregor και πολλών άλλων.
Στις αρχές του έτους, μια διεθνής αστυνομική επιχείρηση, που συντονίστηκε από την Europol και την Eurojust, ανέλαβε τον έλεγχο της υποδομής του Emοtet, διέκοψε τη λειτουργία του malware και συνέλαβε δύο άτομα.
Οι γερμανικές αρχές επιβολής του νόμου χρησιμοποίησαν την υποδομή για να παραδώσουν ένα Emotet module που απεγκατέστησε το κακόβουλο λογισμικό από μολυσμένες συσκευές στις 25 Απριλίου 2021.
Μάθετε περισσότερα: Το Emotet malware αφαιρέθηκε από όλους τους μολυσμένους υπολογιστές!
Το Emotet επιστρέφει!
Ερευνητές από τις Cryptolaemus, GData και Advanced Intel έχουν αρχίσει να βλέπουν το TrickBot malware να εγκαθιστά σε μολυσμένες συσκευές ένα loader για το Emotet.
Ενώ στο παρελθόν, το Emotet εγκαθιστούσε το TrickBot, φαίνεται πως τώρα έχουν αλλάξει τα πράγματα. Οι φορείς απειλών χρησιμοποιούν τώρα μια μέθοδο που ονομάζεται “Operation Reacharound” για να ξαναχτίσουν το botnet Emοtet χρησιμοποιώντας την υπάρχουσα υποδομή του TrickBot.
Ο ερευνητής Joseph Roosen της Cryptolaemus είπε στο BleepingComputer ότι προς το παρόν η ομάδα δεν έχει δει κανένα σημάδι ότι το botnet Emotet εκτελεί spamming δραστηριότητα. Επίσης, δεν έχουν βρεθεί κακόβουλα έγγραφα που να εγκαθιστούν το κακόβουλο λογισμικό.
Δείτε επίσης: Το malware Joker έκανε comeback! Έχουν μολυνθεί 7 εφαρμογές
Αυτή η απουσία spamming δραστηριότητας είναι πιθανό να οφείλεται στη δημιουργία της υποδομής του Emotet από την αρχή.
Η ερευνητική ομάδα που ασχολείται με το Emotet, Cryptolaemus, έχει αρχίσει να αναλύει το νέο Emotet loader και είπε στο BleepingComputer ότι υπάρχουν νέα χαρακτηριστικά σε σύγκριση με τις προηγούμενες παραλλαγές.
“Μέχρι στιγμής μπορούμε σίγουρα να επιβεβαιώσουμε ότι το command buffer έχει αλλάξει. Τώρα υπάρχουν 7 εντολές αντί για 3-4. Φαίνεται να υπάρχουν διάφορες επιλογές εκτέλεσης για downloaded binaries (καθώς δεν είναι μόνο dlls)“, είπαν οι ερευνητές.
Ο γνωστός ερευνητής Vitali Kremez της Intel ανέλυσε επίσης το νέο Emotet dropper και προειδοποίησε ότι η αναγέννηση του malware botnet πιθανότατα θα οδηγήσει σε αύξηση των μολύνσεων από ransomware.
Δείγματα του Emotet loader που εγκαταστάθηκαν από το TrickBot, υπάρχουν στο Urlhaus.
Δείτε επίσης: malware TrickBot: Ο dev του αντιμετωπίζει ποινή φυλάκισης 60 ετών
Άμυνα ενάντια στο νέο Emοtet botnet
Ο μη κερδοσκοπικός οργανισμός παρακολούθησης κακόβουλου λογισμικού Abuse.ch κυκλοφόρησε μια λίστα με command and control servers που χρησιμοποιούνται από το νέο Emotet botnet και προτείνει στους διαχειριστές δικτύου να αποκλείσουν τις σχετικές διευθύνσεις IP.
Δυστυχώς, η νέα υποδομή Emοtet αναπτύσσεται ραγδαία και περισσότερες από 246 μολυσμένες συσκευές λειτουργούν ήδη ως command and control servers.
Οι διαχειριστές δικτύου πρέπει να αποκλείουν όλες τις συσχετισμένες διευθύνσεις IP για να αποτρέψουν τη “στρατολόγηση” των συσκευών τους στο πρόσφατα αναμορφωμένο botnet Emotet.
Πηγή: Bleeping Computer