Стотици хиляди атаки на Emotet след четиримесечно прекъсване

Ботнетът, който отказва да умре, се завръща отново и е оборудван с нови полезни товари и тактики за избягване на откриването

Киберпрестъпниците, които управляват ботнета Emotet, вече са сред най-масовите автори на  заплахи в настоящия пейзаж на киберсигурността, след като се рестартираха след четиримесечна пауза.

Според фирмата за киберсигурност Proofpoint откриванията на полезен товар на Emotet са намалели през юли 2022г., но са се появили отново в началото на ноември, а ботнетът вече действа като основен посредник за доставката на големи щамове зловреден софтуер.

Преди това Emotet се е върнал към активност през ноември 2021г., по-малко от година след като операция на правоприлагащите органи  затвори първоначалната му инфраструктура, която в продължение на години е била насочена към бизнеса със зловреден софтуер.

Компанията заяви, че всеки ден блокира стотици хиляди имейли, свързани с Emotet, което я поставя сред най-обемните кампании за заплахи по електронна поща, действащи в момента.

Следвайки историческите си модели, Emotet е демонстрирал продължаваща еволюция в начина си на работа, включително промяна в примамките, двоичния код на зловредния софтуер и други зловредни програми, пуснати чрез успешни кампании.

Екипът на Palo Alto Networks Unit 42 откри в началото на месеца, че при една единствена инфекция с Emotet на машината на жертвата са били пуснати и двата щама на зловредния софтуер IcedID и Bumblebee.

От Proofpoint заявиха, че щамът IcedID, който понастоящем се разпространява чрез Emotet, е по-нова версия, снабдена с различни команди и нов зареждащ модул, което може да е сигнал за промяна в собствеността или за нови взаимоотношения между престъпниците, управляващи IcedID, и тези, които стоят зад Emotet.

„Отпадането на IcedID от Emotet означава, че Emotet отново е в пълна функционалност, като действа като мрежа за доставка на други семейства зловреден софтуер“, се казва в технически анализ на Proofpoint.

„Emotet не е демонстрирал пълна функционалност и последователна доставка на последващ полезен товар (който не е Cobalt Strike) от 2021г., когато беше забелязан да разпространява The Trick и Qbot.

„Завръщането на TA542, което съвпада с доставката на IcedID, е обезпокоително. Преди това IcedID е наблюдаван като последващ полезен товар на инфекциите с Emotet. В много случаи тези инфекции могат да доведат до рансъмуер“.

Някои от възможностите на IcedID включват извличане на информация за работния плот, изпълняваните процеси и системната информация. Той може също така да чете и екфилтрира файлове чрез инфраструктурата за командване и контрол (C2).

Зловредният софтуер Bumblebee, който често действа като зареждащ зловреден софтуер или рансъмуер, беше открит по-рано тази година и се смята, че е свързан с операциите, управляващи TrickBot и BazarLoader.

Смята се, че тези две семейства зловреден софтуер са свързани и с вече закритата организация Conti ransomware.

Proofpoint също установи връзки с IcedID и Conti – изтичане на информация от вътрешните чатове на организацията за рансъмуер разкри, че тя може би е била наричана вътрешно „Anubis“.

Компанията заяви още, че очаква Emotet да продължи да се разраства допълнително, демонстрирайки повече опити за атаки срещу цели на повече места по света.

Emotet е известен с това, че е една от най-влиятелните киберпрестъпни операции през последните няколко години и бяха необходими месеци на координирани усилия между различни международни правоприлагащи органи, за да бъде унищожен за първи път.

Инфраструктурата на Emotet се е увеличила почти двойно, откакто беше потвърдено възобновяването

Той е известен с това, че непрекъснато адаптира техниките си за заразяване, за да използва най-новите уязвимости и да избягва откриване.

Emotet беше една от първите операции, които еволюираха, след като Microsoft блокира VBA макросите в документите на Office, като вместо това се насочи към използването на URL адреси на OneDrive.

Блокирането на макросите VBA от страна на Microsoft беше широко приветствано в индустрията за киберсигурност по това време. То беше въведено като начин за намаляване на броя на успешните злонамерени имейл кампании, разпространяващи зловреден софтуер.

Независимо от това, вече са създадени различни обходни пътища, като през последните месеци най-популярно се оказа използването на LNK файлове.

Източник: itpro.co.uk

Подобни публикации

6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
28 ноември 2022

Поредна глоба за Meta

Ирландската комисия за защита на данните (DPC) наложи глоба на Meta...
28 ноември 2022

Социалните медии трябва да престанат да копират...

Интернет не е само за тийнейджъри. Когато поколението Z навлезе в м...
Бъдете социални
Още по темата
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
30/11/2022

Уязвимост на Hyundai позво...

Изследователи са открили недостатъци в редица...
28/11/2022

Социалните медии трябва да ...

Интернет не е само за тийнейджъри....
Последно добавени
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
04/12/2022

Google с нова актуализация ...

  В петък гигантът в областта...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!