Emotet pojawia się po prawie roku nieobecności

Badacze zaobserwowali coś, co wygląda jak botnet Emotet „najniebezpieczniejsze złośliwe oprogramowanie na świecie”, odrodzone i rozprowadzane przez trojana, którego sam dostarczał.
Emotet, jeden z najbardziej niebezpiecznych i destrukcyjnych systemów dostarczania złośliwego oprogramowania typu botnet, wydaje się powracać po prawie roku braku aktywności.
Zespół badaczy z Cryptolaemus, G DATA i AdvIntel zaobserwował, że trojan TrickBot uruchamia coś, co wydaje się być nowym, a zarazem znanym złośliwym oprogramowaniem.
„Mamy powody, by z dużą pewnością zakładać, że Emotet jest znowu aktywny i jest obecnie dystrybuowany za pośrednictwem Trickbota” – napisała G DATA Advanced Analytics na swoim Twitter’owym kanale.
„14.11.2021: Program ‚Emotet loader’ wydaje się odbudowywać z istniejących infekcji TrickBot”, potwierdził dyrektor generalny AdvIntel, Vitali Kremez. „TrickBot uruchomił coś, co wydaje się być nowszym programem ładującym Emotet”.
Post na blogu badaczy z G DATA zawiera bardziej szczegółowe informacje o tym, co się stało. Luca Ebach z G DATA wyjaśnia, że ​​w niedzielę około 9:26 UTC badacze zaobserwowali TrickBot’a i próbę pobrania biblioteki DLL do systemu.
„Po wewnętrznej weryfikacji biblioteki DLL zostały zidentyfikowane jako Emotet” — napisał Luca Ebach.
Ponieważ Emotet został w dużej mierze zdemontowany na początku tego roku przez międzynarodowe organy ścigania, naukowcy powiedzieli, że są „podejrzliwi co do wyników” i przeprowadzili dalszą weryfikację i analizę. Po ekspertyzie napisali „z wysoką pewnością, próbki rzeczywiście wydają się być ponownym wcieleniem niesławnego Emoteta”, ale będą prowadzone dalsze analizy, napisał Ebach.
Ewolucja cyberzagrożenia. Emotet rozpoczął swoją działalność jako trojan bankowy w 2014 roku i stale ewoluował, aby stać się mechanizmem dostarczania pełnej obsługi zagrożeń. Może instalować kolekcję złośliwego oprogramowania na maszynach ofiar, w tym tzw. złodziei informacji, programy do zbierania wiadomości e-mail, mechanizmy samopropagacji i oprogramowanie ransomware, z których ostatnie ma rekordowo wysoki poziom i jest obecnie największym zagrożeniem cybernetycznym dla międzynarodowych organów ścigania.
Emotet pojawiał się ostatnio w ilości docierającej do 100 000 docelowych skrzynek pocztowych dziennie, dostarczając TrickBota, Qakbota i Zloadera, miało to miejsce przed świętami Bożego Narodzenia w 2020. Natomiast w październiku 2020, atak Emotet był skierowany na wolontariuszy z Demokratycznego Komitetu Narodowego (DNC), uaktywnił się już w lipcu po pięciomiesięcznej przerwie.
Wydawało się, że Emotet został wykluczony z działania w wyniku usunięcia z sieci, setek serwerów botnet obsługujących system, w skutek przeprowadzonej w styczniu 2021 roku akcji, przez międzynarodowe organy ścigania. Działania te wyeliminowały aktywne infekcje na ponad milionie punktów końcowych na całym świecie.
Wygląda jednak na to, że pojawił się ponownie przy udziale TrickBot, z którym ma wspólną historię działania. Często to Emotet wykorzystywał swoją rozległą sieć do dostarczania TrickBota w ukierunkowanych kampaniach phishingowych za pośrednictwem poczty e-mail, chociaż TrickBot również w przeszłości dostarczał próbki Emotet, co wydaje się, że ponownie ma to miejsce.
Badacze szczegółowo opisali podobieństwa między poprzednimi próbkami Emotet a tą, którą zaobserwowali w niedzielę. Jedną z cech charakterystycznych jest to, że ruch sieciowy pochodzący z próbki bardzo przypomina to, co zaobserwowano wcześniej jako zachowanie Emotet, opisane przez Kaspersky Labs, napisał Ebach.
„Adres URL zawiera losową ścieżkę zasobów, a bot przesyła żądania w pliku cookie”. „Jednak szyfrowanie używane do ukrywania danych wydaje się różnić od tego, co zaobserwowano w przeszłości. Ponadto próbka używa teraz protokołu HTTPS z samopodpisującym się certyfikatem serwera w celu zabezpieczenia ruchu sieciowego”.
Wiadomość ta już wywołuje dreszcze wśród specjalistów od bezpieczeństwa, którzy nie są zdziwieni pojawieniem się Emotet, dobrze znają szkody, jakie może wywołać, gdy jest w pełni sił.
„Emotet był kiedyś »najniebezpieczniejszym złośliwym oprogramowaniem na świecie” — zauważył James Shank. Jednak minie trochę czasu, zanim jego najnowsza wersja będzie zdolna do siania dobrze znanego spustoszenia.
Shank powiedział, że jest zbyt wcześnie, aby stwierdzić na podstawie ujawnionej próbki, jak będzie wyglądać nowa wersja Emotetu, chociaż wydaje się, że kod starej i najnowszej wersji nakłada się na siebie.
„W ostatnich latach bardzo wiele firm padło ofiarą ataku przy użyciu Emotet i wiele z tych firm do dnia dzisiejszego nie upublicznia tego faktu, uznając, że nic się nie stało. Pomimo ogromnych strat finansowych, wynikających m.in. z przestoju produkcyjnego, po zaszyfrowaniu całego śrowiska, oraz nakładu wymagającego przywrócenia infratsruktury IT do stanu sprzed ataku, często jednak z danymi zerowymi, których nie udało się odzyskać, odszyfrować. Należy nadmienić iż zatajenie tego faktu, nosi znamiona przestępstwa, firmom wydaje się, że zachowanie w tajemicy informacji o ataku cyber nie narazi ich firmy na nadszarpnięcie reputacji i zaufania do marki.”