Търсене
Close this search box.

Стотици хиляди атаки на Emotet след четиримесечно прекъсване

Ботнетът, който отказва да умре, се завръща отново и е оборудван с нови полезни товари и тактики за избягване на откриването

Киберпрестъпниците, които управляват ботнета Emotet, вече са сред най-масовите автори на  заплахи в настоящия пейзаж на киберсигурността, след като се рестартираха след четиримесечна пауза.

Според фирмата за киберсигурност Proofpoint откриванията на полезен товар на Emotet са намалели през юли 2022г., но са се появили отново в началото на ноември, а ботнетът вече действа като основен посредник за доставката на големи щамове зловреден софтуер.

Преди това Emotet се е върнал към активност през ноември 2021г., по-малко от година след като операция на правоприлагащите органи  затвори първоначалната му инфраструктура, която в продължение на години е била насочена към бизнеса със зловреден софтуер.

Компанията заяви, че всеки ден блокира стотици хиляди имейли, свързани с Emotet, което я поставя сред най-обемните кампании за заплахи по електронна поща, действащи в момента.

Следвайки историческите си модели, Emotet е демонстрирал продължаваща еволюция в начина си на работа, включително промяна в примамките, двоичния код на зловредния софтуер и други зловредни програми, пуснати чрез успешни кампании.

Екипът на Palo Alto Networks Unit 42 откри в началото на месеца, че при една единствена инфекция с Emotet на машината на жертвата са били пуснати и двата щама на зловредния софтуер IcedID и Bumblebee.

От Proofpoint заявиха, че щамът IcedID, който понастоящем се разпространява чрез Emotet, е по-нова версия, снабдена с различни команди и нов зареждащ модул, което може да е сигнал за промяна в собствеността или за нови взаимоотношения между престъпниците, управляващи IcedID, и тези, които стоят зад Emotet.

„Отпадането на IcedID от Emotet означава, че Emotet отново е в пълна функционалност, като действа като мрежа за доставка на други семейства зловреден софтуер“, се казва в технически анализ на Proofpoint.

„Emotet не е демонстрирал пълна функционалност и последователна доставка на последващ полезен товар (който не е Cobalt Strike) от 2021г., когато беше забелязан да разпространява The Trick и Qbot.

„Завръщането на TA542, което съвпада с доставката на IcedID, е обезпокоително. Преди това IcedID е наблюдаван като последващ полезен товар на инфекциите с Emotet. В много случаи тези инфекции могат да доведат до рансъмуер“.

Някои от възможностите на IcedID включват извличане на информация за работния плот, изпълняваните процеси и системната информация. Той може също така да чете и екфилтрира файлове чрез инфраструктурата за командване и контрол (C2).

Зловредният софтуер Bumblebee, който често действа като зареждащ зловреден софтуер или рансъмуер, беше открит по-рано тази година и се смята, че е свързан с операциите, управляващи TrickBot и BazarLoader.

Смята се, че тези две семейства зловреден софтуер са свързани и с вече закритата организация Conti ransomware.

Proofpoint също установи връзки с IcedID и Conti – изтичане на информация от вътрешните чатове на организацията за рансъмуер разкри, че тя може би е била наричана вътрешно „Anubis“.

Компанията заяви още, че очаква Emotet да продължи да се разраства допълнително, демонстрирайки повече опити за атаки срещу цели на повече места по света.

Emotet е известен с това, че е една от най-влиятелните киберпрестъпни операции през последните няколко години и бяха необходими месеци на координирани усилия между различни международни правоприлагащи органи, за да бъде унищожен за първи път.

Инфраструктурата на Emotet се е увеличила почти двойно, откакто беше потвърдено възобновяването

Той е известен с това, че непрекъснато адаптира техниките си за заразяване, за да използва най-новите уязвимости и да избягва откриване.

Emotet беше една от първите операции, които еволюираха, след като Microsoft блокира VBA макросите в документите на Office, като вместо това се насочи към използването на URL адреси на OneDrive.

Блокирането на макросите VBA от страна на Microsoft беше широко приветствано в индустрията за киберсигурност по това време. То беше въведено като начин за намаляване на броя на успешните злонамерени имейл кампании, разпространяващи зловреден софтуер.

Независимо от това, вече са създадени различни обходни пътища, като през последните месеци най-популярно се оказа използването на LNK файлове.

Източник: itpro.co.uk

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
Бъдете социални
Още по темата
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
15/05/2024

Singing River: Данните на 8...

Здравната система Singing River Health System...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!