Emotet, najopasniji botnet današnjice, vraća se u život

Emotet, jedan od najvećih i najopasnijih malware botneta današnjice, vratio se u život nakon razdoblja neaktivnosti koje je trajalo gotovo četiri mjeseca, od kraja svibnja ove godine.

Tijekom tog vremena, serveri za upravljanje i kontrolu (C&C) botneta bili su ugašeni, a Emotet prestao slati naredbe zaraženim zaraženim botovima i nove kampanje neželjene e-pošte za zarazu novih žrtve.

Neki istraživači sigurnosti nadali su se da su organi za provedbu zakona potajno pronašli način da zatvore nevjerojatni botnet; međutim, nije bilo tako.

Nove spam kampanje

Emotet je danas počeo slati nove spam poruke, Raashid Bhat, istraživač sigurnosti u SpamHausu, rekao je ZDNet.

Prema Bhatu, e-poruke su sadržavale privitke zlonamjernih datoteka ili poveznice na preuzimanja sa zlonamjernim softverom. Spam kampanja koja je danas počela izbacivati ​​iz Emotetove infrastrukture prvenstveno je usmjerena na korisnike koji govore poljski i njemački.

Emotet se u potpunosti vratio u akciju i slanje spama. U proteklih 15 minuta naši su istraživači promatrali aktivnost. #botnet#emotet#ThreatIntelpic.twitter.com/jRTNqph6K0

— Spamhaus (@spamhaus) 16. rujna 2019

Emotet ponovno šalje neželjenu poštu nakon mjeseci neaktivnosti. Trenutačno koriste ukradene e-poruke kako bi odgovorili na postojeće nizove e-pošte s neželjenom poštom (ciljanje DE).

— MalwareTech (@MalwareTechBlog) 16. rujna 2019

#emotet jutros je nastavio s spamom. Uskoro ćemo pružiti neka ažuriranja.

— Cofense Labs (@CofenseLabs) 16. rujna 2019

Korisnici koji primaju ove e-poruke te preuzimaju i pokreću bilo koju od zlonamjernih datoteka izlažu se zarazi zlonamjernim softverom Emotet.

Nakon zaraze, računala se dodaju u Emotet botnet. Zlonamjerni softver Emotet na zaraženim računalima djeluje kao preuzimač za druge prijetnje.

Poznato je da Emotet isporučuje module koji mogu izdvojiti lozinke iz lokalnih aplikacija, širiti ih bočno na druga računala na istoj mreži, pa čak i ukrasti cijele niti e-pošte do kasnije ponovno korištenje u spam kampanjama.

Osim toga, poznato je da grupa Emotet pokreće svoj botnet kao Malware-as-a-Service (MaaS), gdje drugi kriminalne skupine mogu iznajmiti pristup računalima zaraženim Emotetom i usporedno s njima izbaciti vlastite zlonamjerne programe Emotet.

Neki od Emotetovih najpoznatijih kupaca su operateri vrsta ransomwarea Bitpaymer i Ryuk, koji su često iznajmljuje pristup hostovima zaraženim Emotetom kako bi zarazio poslovne mreže ili lokalne vlasti svojim ransomwareom naprezanja.

Pogled izbliza na tri #Emotet infekcije koje su u konačnici rezultirale #ransomware ispušteno: https://t.co/1TtnJrDmDBpic.twitter.com/z267ggdA9o

— Barkly (@barklyprotects) 30. listopada 2018

Očekivalo se oživljavanje Emoteta

Današnje oživljavanje Emoteta nije bilo potpuno iznenađenje za istraživače sigurnosti. Emotet C&C serveri su stali krajem svibnja, ali su zapravo oživjeli krajem kolovoza.

U početku nisu odmah počeli slati neželjenu poštu. Posljednjih nekoliko tjedana C&C poslužitelji su besposleni, opslužujući binarne datoteke za Emotetove module "lateralnog kretanja" i "krađe vjerodajnica", rekao je Bhat ZDNet u današnjem intervjuu.

Bhat vjeruje da su operateri Emoteta proveli posljednjih nekoliko tjedana ponovno uspostavljajući komunikaciju s prethodno zaraženim botovima koje su napustili na krajem svibnja i širenje po lokalnim mrežama kako bi se povećala veličina njihovog botneta prije nego što pređu na svoju glavnu operaciju -- slanje e-pošte spam.

Ovo razdoblje pojačanja predvidjelo je nekoliko sigurnosnih istraživača prošlog mjeseca, kada je ekipa Emoteta upalila svjetla na C&C poslužiteljima.

da ne spominjem distribucijsko krilo je cijeli vlastiti botnet koji treba pokrenuti, hraniti hakiranim wordpress inventarom, rasporediti školjke itd.
čak i slojevita infrastruktura za distribucijsko krilo.
mora prvo trčati.

— JTHL (@JayTHL) 23. kolovoza 2019

Činjenica da su operacije Emoteta obustavljene na nekoliko mjeseci zapravo nije "nova stvar". Malware botnetovi često ostaju neaktivni mjesecima iz različitih razloga.

Neki botnetovi se zatamne radi nadogradnje infrastrukture, dok drugi botnetovi ne rade samo zato što operateri odlaze na godišnji odmor. Na primjer, botnet Dridex redovito pada svake godine između sredine prosinca i sredine siječnja, za zimske praznike.

U vrijeme pisanja nije jasno zašto se Emotet ugasio tijekom ljeta. Unatoč tome, botnet se vratio u svoje prethodno stanje, nastavivši s radom koristeći model dualne infrastrukture, učinkovito radi na dva odvojena botneta.

TrickBot je zamijenio Emotet kao top botnet

No čak i ako je Emotet obustavio rad na gotovo četiri mjeseca, drugi botnetovi nisu napravili pauzu. Dok je Emotet pao, operateri botneta TrickBot preuzeli su titulu najaktivnije operacije zlonamjernog softvera na tržištu.

Ovaj grafikon prikazuje broj Emotet vs. TrickBot uzorci zlonamjernog softvera od siječnja 2019. Možete jasno vidjeti nestanak Emotet 📉 malspam kampanja krajem svibnja i uspon TrickBota 📈 u srpnju koji se danas koristi za implementaciju Ransomwarea 🔒💰na korporativnim mrežama 🏛️ pic.twitter.com/IdPoGxYMbO

— abuse.ch (@abuse_ch) 13. kolovoza 2019

Emotet i TrickBot dijele mnogo sličnosti. Oba su bili bankarski trojanci koji su ponovno kodirani da rade kao učitavači zlonamjernog softvera -- zlonamjernog softvera koji preuzima drugi zlonamjerni softver.

Oba zaraze žrtve, a zatim preuzmu druge module kako bi ukrali vjerodajnice ili se kretali bočno preko mreže. Nadalje, obojica prodaju pristup zaraženim hostovima drugim bandama zlonamjernog softvera, kao što su operacije rudarenja kriptovaluta i operateri ransomwarea.

Budući da TrickBot radi punom parom, Emotet se vraća u život loša je vijest za administratore sustava zadužene za zaštitu poslovnih i vladinih mreža, omiljenih meta objema botnetima.

Sigurnosni istraživači i administratori sustava koji traže hash datoteke, IP adrese poslužitelja, retke predmeta neželjene e-pošte i druge pokazatelje ugroženosti (IOC) mogu slobodno pronaći ove podatke podijelio na Twitteru. Cryptolaemus, skupina sigurnosnih istraživača koji prate botnet Emotet, također se očekuje da kasnije danas objave besplatne podatke o prijetnjama.