Стотици хиляди атаки на Emotet след четиримесечно прекъсване

Ботнетът, който отказва да умре, се завръща отново и е оборудван с нови полезни товари и тактики за избягване на откриването

Киберпрестъпниците, които управляват ботнета Emotet, вече са сред най-масовите автори на  заплахи в настоящия пейзаж на киберсигурността, след като се рестартираха след четиримесечна пауза.

Според фирмата за киберсигурност Proofpoint откриванията на полезен товар на Emotet са намалели през юли 2022г., но са се появили отново в началото на ноември, а ботнетът вече действа като основен посредник за доставката на големи щамове зловреден софтуер.

Преди това Emotet се е върнал към активност през ноември 2021г., по-малко от година след като операция на правоприлагащите органи  затвори първоначалната му инфраструктура, която в продължение на години е била насочена към бизнеса със зловреден софтуер.

Компанията заяви, че всеки ден блокира стотици хиляди имейли, свързани с Emotet, което я поставя сред най-обемните кампании за заплахи по електронна поща, действащи в момента.

Следвайки историческите си модели, Emotet е демонстрирал продължаваща еволюция в начина си на работа, включително промяна в примамките, двоичния код на зловредния софтуер и други зловредни програми, пуснати чрез успешни кампании.

Екипът на Palo Alto Networks Unit 42 откри в началото на месеца, че при една единствена инфекция с Emotet на машината на жертвата са били пуснати и двата щама на зловредния софтуер IcedID и Bumblebee.

От Proofpoint заявиха, че щамът IcedID, който понастоящем се разпространява чрез Emotet, е по-нова версия, снабдена с различни команди и нов зареждащ модул, което може да е сигнал за промяна в собствеността или за нови взаимоотношения между престъпниците, управляващи IcedID, и тези, които стоят зад Emotet.

„Отпадането на IcedID от Emotet означава, че Emotet отново е в пълна функционалност, като действа като мрежа за доставка на други семейства зловреден софтуер“, се казва в технически анализ на Proofpoint.

„Emotet не е демонстрирал пълна функционалност и последователна доставка на последващ полезен товар (който не е Cobalt Strike) от 2021г., когато беше забелязан да разпространява The Trick и Qbot.

„Завръщането на TA542, което съвпада с доставката на IcedID, е обезпокоително. Преди това IcedID е наблюдаван като последващ полезен товар на инфекциите с Emotet. В много случаи тези инфекции могат да доведат до рансъмуер“.

Някои от възможностите на IcedID включват извличане на информация за работния плот, изпълняваните процеси и системната информация. Той може също така да чете и екфилтрира файлове чрез инфраструктурата за командване и контрол (C2).

Зловредният софтуер Bumblebee, който често действа като зареждащ зловреден софтуер или рансъмуер, беше открит по-рано тази година и се смята, че е свързан с операциите, управляващи TrickBot и BazarLoader.

Смята се, че тези две семейства зловреден софтуер са свързани и с вече закритата организация Conti ransomware.

Proofpoint също установи връзки с IcedID и Conti – изтичане на информация от вътрешните чатове на организацията за рансъмуер разкри, че тя може би е била наричана вътрешно „Anubis“.

Компанията заяви още, че очаква Emotet да продължи да се разраства допълнително, демонстрирайки повече опити за атаки срещу цели на повече места по света.

Emotet е известен с това, че е една от най-влиятелните киберпрестъпни операции през последните няколко години и бяха необходими месеци на координирани усилия между различни международни правоприлагащи органи, за да бъде унищожен за първи път.

Инфраструктурата на Emotet се е увеличила почти двойно, откакто беше потвърдено възобновяването

Той е известен с това, че непрекъснато адаптира техниките си за заразяване, за да използва най-новите уязвимости и да избягва откриване.

Emotet беше една от първите операции, които еволюираха, след като Microsoft блокира VBA макросите в документите на Office, като вместо това се насочи към използването на URL адреси на OneDrive.

Блокирането на макросите VBA от страна на Microsoft беше широко приветствано в индустрията за киберсигурност по това време. То беше въведено като начин за намаляване на броя на успешните злонамерени имейл кампании, разпространяващи зловреден софтуер.

Независимо от това, вече са създадени различни обходни пътища, като през последните месеци най-популярно се оказа използването на LNK файлове.

Източник: itpro.co.uk

Подобни публикации

20 март 2023

Хакерите са се насочвали предимно към уязвимост...

Хакерите продължават да се насочват към уязвимостите от типа „...
20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
Бъдете социални
Още по темата
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Последно добавени
20/03/2023

Хакерите са се насочвали пр...

Хакерите продължават да се насочват към...
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!