Стотици хиляди атаки на Emotet след четиримесечно прекъсване

Picture of e-security.bg
e-security.bg
Aрхив | Зловреден код
16 ноември 2022

Ботнетът, който отказва да умре, се завръща отново и е оборудван с нови полезни товари и тактики за избягване на откриването

Киберпрестъпниците, които управляват ботнета Emotet, вече са сред най-масовите автори на  заплахи в настоящия пейзаж на киберсигурността, след като се рестартираха след четиримесечна пауза.

Според фирмата за киберсигурност Proofpoint откриванията на полезен товар на Emotet са намалели през юли 2022г., но са се появили отново в началото на ноември, а ботнетът вече действа като основен посредник за доставката на големи щамове зловреден софтуер.

Преди това Emotet се е върнал към активност през ноември 2021г., по-малко от година след като операция на правоприлагащите органи  затвори първоначалната му инфраструктура, която в продължение на години е била насочена към бизнеса със зловреден софтуер.

Компанията заяви, че всеки ден блокира стотици хиляди имейли, свързани с Emotet, което я поставя сред най-обемните кампании за заплахи по електронна поща, действащи в момента.

Следвайки историческите си модели, Emotet е демонстрирал продължаваща еволюция в начина си на работа, включително промяна в примамките, двоичния код на зловредния софтуер и други зловредни програми, пуснати чрез успешни кампании.

Екипът на Palo Alto Networks Unit 42 откри в началото на месеца, че при една единствена инфекция с Emotet на машината на жертвата са били пуснати и двата щама на зловредния софтуер IcedID и Bumblebee.

От Proofpoint заявиха, че щамът IcedID, който понастоящем се разпространява чрез Emotet, е по-нова версия, снабдена с различни команди и нов зареждащ модул, което може да е сигнал за промяна в собствеността или за нови взаимоотношения между престъпниците, управляващи IcedID, и тези, които стоят зад Emotet.

„Отпадането на IcedID от Emotet означава, че Emotet отново е в пълна функционалност, като действа като мрежа за доставка на други семейства зловреден софтуер“, се казва в технически анализ на Proofpoint.

„Emotet не е демонстрирал пълна функционалност и последователна доставка на последващ полезен товар (който не е Cobalt Strike) от 2021г., когато беше забелязан да разпространява The Trick и Qbot.

„Завръщането на TA542, което съвпада с доставката на IcedID, е обезпокоително. Преди това IcedID е наблюдаван като последващ полезен товар на инфекциите с Emotet. В много случаи тези инфекции могат да доведат до рансъмуер“.

Някои от възможностите на IcedID включват извличане на информация за работния плот, изпълняваните процеси и системната информация. Той може също така да чете и екфилтрира файлове чрез инфраструктурата за командване и контрол (C2).

Зловредният софтуер Bumblebee, който често действа като зареждащ зловреден софтуер или рансъмуер, беше открит по-рано тази година и се смята, че е свързан с операциите, управляващи TrickBot и BazarLoader.

Смята се, че тези две семейства зловреден софтуер са свързани и с вече закритата организация Conti ransomware.

Proofpoint също установи връзки с IcedID и Conti – изтичане на информация от вътрешните чатове на организацията за рансъмуер разкри, че тя може би е била наричана вътрешно „Anubis“.

Компанията заяви още, че очаква Emotet да продължи да се разраства допълнително, демонстрирайки повече опити за атаки срещу цели на повече места по света.

Emotet е известен с това, че е една от най-влиятелните киберпрестъпни операции през последните няколко години и бяха необходими месеци на координирани усилия между различни международни правоприлагащи органи, за да бъде унищожен за първи път.

Инфраструктурата на Emotet се е увеличила почти двойно, откакто беше потвърдено възобновяването

Той е известен с това, че непрекъснато адаптира техниките си за заразяване, за да използва най-новите уязвимости и да избягва откриване.

Emotet беше една от първите операции, които еволюираха, след като Microsoft блокира VBA макросите в документите на Office, като вместо това се насочи към използването на URL адреси на OneDrive.

Блокирането на макросите VBA от страна на Microsoft беше широко приветствано в индустрията за киберсигурност по това време. То беше въведено като начин за намаляване на броя на успешните злонамерени имейл кампании, разпространяващи зловреден софтуер.

Независимо от това, вече са създадени различни обходни пътища, като през последните месеци най-популярно се оказа използването на LNK файлове.

#атаки, # рансъмуер, # сравнения и анализи, # фишинг
itpro.co.uk

Подобни

Landfall засяга устройства Samsung Galaxy
11.11.2025
spyware
Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Google и ФБР предупреждават за мащабна и глобална киберизмама
5.11.2025
cybercrime-3528223_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.