Emotet, დღეს ყველაზე საშიში ბოტნეტი, უბრუნდება სიცოცხლეს

  • Sep 07, 2023

Emotet ბოტნეტი განაახლებს malspam ოპერაციებს თითქმის ოთხი თვის განმავლობაში დუმილის შემდეგ.

ემოტეტი

იხილეთ ალს

  • აპლიკაციის 10 საშიში დაუცველობა, რომელსაც ყურადღება უნდა მიაქციოთ (უფასო PDF)

Emotet, დღევანდელი ერთ-ერთი ყველაზე დიდი და საშიში მავნე პროგრამის ბოტნეტი, სიცოცხლეს დაუბრუნდა უმოქმედობის პერიოდის შემდეგ, რომელიც თითქმის ოთხი თვე გაგრძელდა, მიმდინარე წლის მაისის ბოლოდან.

ამ დროის განმავლობაში, ბოტნეტის ბრძანება და კონტროლი (C&C) სერვერები დაიხურა და Emotet შეაჩერა ბრძანებების გაგზავნა ინფიცირებულ ინფიცირებულ ბოტებზე და ახალი ელ.ფოსტის სპამის კამპანიები ახლის დასაინფიცირებლად მსხვერპლი.

უსაფრთხოების ზოგიერთი მკვლევარი იმედოვნებდა, რომ სამართალდამცავებმა ფარულად იპოვეს გზა გასაოცარი ბოტნეტის დახურვისთვის; თუმცა, ეს არ უნდა ყოფილიყო.

ახალი სპამის კამპანიები

Emotet-მა დღეს დაიწყო ახალი სპამის წერილების გამოქვეყნება, რააშიდ ბჰატიგანუცხადა SpamHaus-ის უსაფრთხოების მკვლევარმა ZDNet.

Bhat-ის თანახმად, ელფოსტა შეიცავდა მავნე ფაილების დანართებს ან მავნე პროგრამების ჩამოტვირთვების ბმულებს. სპამის კამპანია, რომელიც დღეს დაიწყო Emotet-ის ინფრასტრუქტურიდან, ძირითადად მიმართულია პოლონელ და გერმანულენოვან მომხმარებლებს.

Emotet სრულად დაბრუნდა მოქმედებაში და სპამს. ბოლო 15 წუთის განმავლობაში ჩვენმა მკვლევარებმა დააფიქსირეს აქტივობა. #ბოტნეტი#emotet#ThreatIntelpic.twitter.com/jRTNqph6K0

— Spamhaus (@spamhaus) 2019 წლის 16 სექტემბერი

Emotet დაბრუნდა სპამი რამდენიმეთვიანი უმოქმედობის შემდეგ. ამჟამად ისინი იყენებენ მოპარულ ელფოსტას, რათა უპასუხონ არსებულ ელფოსტის თემებს malspam-ით (მიზნობრივი DE).

— MalwareTech (@MalwareTechBlog) 2019 წლის 16 სექტემბერი

#emotet დღეს დილით განაახლა სპამის ოპერაციები. ჩვენ მალე მოგაწვდით რამდენიმე განახლებას.

— Cofense Labs (@CofenseLabs) 2019 წლის 16 სექტემბერი

მომხმარებლები, რომლებიც იღებენ ამ წერილებს და ჩამოტვირთავენ და ასრულებენ ნებისმიერ მავნე ფაილს, ემუქრებიან Emotet მავნე პროგრამით დაინფიცირებას.

ინფიცირების შემდეგ კომპიუტერები ემატება Emotet ბოტნეტს. ინფიცირებულ კომპიუტერებზე Emotet მავნე პროგრამა მოქმედებს, როგორც სხვა საფრთხეების ჩამოტვირთვა.

ცნობილია, რომ Emotet აწვდის მოდულებს, რომლებსაც შეუძლიათ პაროლების ამოღება ადგილობრივი აპებიდან, გავრცელდეს გვერდით იმავე ქსელის სხვა კომპიუტერებზე და კიდევ მოიპარეთ ელექტრონული ფოსტის მთელი თემა მოგვიანებით ხელახლა გამოყენება სპამის კამპანიებში.

გარდა ამისა, Emotet ბანდა ასევე ცნობილია თავისი ბოტნეტით, როგორც Malware-as-a-Service (MaaS), სადაც სხვა კრიმინალურ დაჯგუფებებს შეუძლიათ იქირაონ წვდომა Emotet-ით ინფიცირებულ კომპიუტერებზე და გვერდით ჩამოაგდონ საკუთარი მავნე პროგრამები ემოტეტი.

Emotet-ის ზოგიერთი ყველაზე ცნობილი მომხმარებელია Bitpaymer და Ryuk გამოსასყიდი პროგრამების ოპერატორები, რომლებსაც აქვთ ხშირად ქირავდება წვდომა Emotet-ით ინფიცირებულ ჰოსტებზე, რათა დააინფიციროს საწარმოთა ქსელები ან ადგილობრივი მთავრობები მათი გამოსასყიდი პროგრამებით შტამები.

სამზე უფრო ახლოს #ემოცია ინფექციები, რამაც საბოლოოდ გამოიწვია #გამოსყიდვის პროგრამა ჩამოშვებული: https://t.co/1TtnJrDmDBpic.twitter.com/z267ggdA9o

— ქერქი (@barklyprotects) 2018 წლის 30 ოქტომბერი

ემოციების აღორძინება მოსალოდნელი იყო

Emotet-ის დღევანდელი აღორძინება არ იყო სრულიად მოულოდნელი უსაფრთხოების მკვლევარებისთვის. Emotet C&C სერვერები გაქრა მაისის ბოლოს, მაგრამ ისინი რეალურად დაუბრუნდნენ სიცოცხლეს აგვისტოს ბოლოს.

თავდაპირველად, მათ მაშინვე არ დაიწყეს სპამის გაგზავნა. ბოლო რამდენიმე კვირის განმავლობაში, C&C სერვერები უსაქმურად სხედან და ემსახურებიან ბინარებს Emotet-ის „გვერდითი მოძრაობის“ და „სარწმუნოების მოპარვის“ მოდულებისთვის, განუცხადა ბჰატმა. ZDNet დღევანდელ ინტერვიუში.

ბჰატი თვლის, რომ Emotet-ის ოპერატორებმა ბოლო რამდენიმე კვირა გაატარეს კომუნიკაციის აღდგენაში ადრე ინფიცირებულ ბოტებთან, რომლებიც მათ მიატოვეს მაისის ბოლოს და ადგილობრივ ქსელებში გავრცელება, რათა მაქსიმალურად გაზარდონ მათი ბოტნეტის ზომა, სანამ მთავარ ოპერაციაზე გადავიდოდნენ - ელ.ფოსტის გაგზავნა სპამი.

ეს გაძლიერების პერიოდი იწინასწარმეტყველა უსაფრთხოების რამდენიმე მკვლევარმა გასულ თვეში, როდესაც Emotet-ის ეკიპაჟმა C&C სერვერებზე განათება აანთო.

რომ აღარაფერი ვთქვათ სადისტრიბუციო ფრთა არის მთელი საკუთარი ბოტნეტი, რომელიც უნდა გააქტიურდეს, გატეხილი ვორდპრესის ინვენტარით კვება, ჭურვები და ა.შ.
დისტრიბუციის ფრთის საფეხურიანი ინფრასტრუქტურაც კი.
ჯერ უნდა იმუშაოს.

- JTHL (@JayTHL) 2019 წლის 23 აგვისტო

ის ფაქტი, რომ Emotet-ის ოპერაციები რამდენიმე თვის განმავლობაში გარდაიცვალა, ნამდვილად არ არის "ახალი". მავნე პროგრამების ბოტნეტები ხშირად უმოქმედოა თვეების განმავლობაში სხვადასხვა მიზეზის გამო.

ზოგიერთი ბოტნეტი ბნელდება ინფრასტრუქტურის განახლებისთვის, ხოლო სხვა ბოტნეტები იშლება მხოლოდ იმიტომ, რომ ოპერატორები შვებულებას იღებენ. მაგალითად, Dridex-ის ბოტნეტი რეგულარულად იშლება ყოველწლიურად დეკემბრის შუა რიცხვებიდან იანვრის შუა რიცხვებში, ზამთრის არდადეგებისთვის.

წერის დროს გაურკვეველია, რატომ დაიხურა Emotet ზაფხულში. მიუხედავად ამისა, ბოტნეტი დაბრუნდა წინა მდგომარეობაში და განაგრძო ფუნქციონირება ორმაგი ინფრასტრუქტურის მოდელის გამოყენებით, ეფექტურად მუშაობს ორ ცალკეულ ბოტნეტზე.

TrickBot-მა ჩაანაცვლა Emotet, როგორც საუკეთესო ბოტნეტი

მაგრამ იმ შემთხვევაშიც კი, თუ Emotet-მა დახურა ოპერაციები თითქმის ოთხი თვით, სხვა ბოტნეტებმა არ შესვენება. სანამ Emotet გათიშული იყო, TrickBot ბოტნეტის ოპერატორებმა მიიღეს ბაზარზე ყველაზე აქტიური მავნე პროგრამის ტიტული.

ეს სქემა გვიჩვენებს Emotet Vs-ის რაოდენობას. TrickBot მავნე პროგრამის ნიმუშები 2019 წლის იანვრიდან. თქვენ ნათლად ხედავთ Emotet 📉 malspam კამპანიების გაქრობას მაისის ბოლოს და TrickBot 📈 ივლისში, რომელიც დღეს გამოიყენება Ransomware 🔒💰 კორპორატიულ ქსელებზე 🏛️ pic.twitter.com/IdPoGxYMbO

— abuse.ch (@abuse_ch) 2019 წლის 13 აგვისტო

Emotet და TrickBot ბევრ მსგავსებას იზიარებენ. ორივე იყო საბანკო ტროიანები, რომლებიც ხელახლა იყო კოდირებული, რათა მუშაობდნენ მავნე პროგრამების დამტვირთავებად - მავნე პროგრამა, რომელიც ჩამოტვირთავს სხვა მავნე პროგრამებს.

ორივე აინფიცირებს მსხვერპლს და შემდეგ ჩამოტვირთავს სხვა მოდულებს, რათა მოიპაროს რწმუნებათა სიგელები ან გადაადგილდეს ლატერალურად ქსელში. გარდა ამისა, ისინი ორივე ყიდიან წვდომას ინფიცირებულ მასპინძლებზე სხვა მავნე პროგრამების ბანდებზე, როგორიცაა კრიპტოვალუტის მაინინგის ოპერაციები და გამოსასყიდი პროგრამების ოპერატორები.

TrickBot-ის ოპერაციების სრული სისწრაფით, Emotet-ის დაბრუნება ცუდი ამბავია სისტემის ადმინისტრატორებისთვის, რომლებიც პასუხისმგებელნი არიან დაიცვან საწარმოთა და სამთავრობო ქსელები, ორივე ბოტნეტის საყვარელი სამიზნე.

უსაფრთხოების მკვლევარები და სისტემის ადმინისტრატორები, რომლებიც ეძებენ ფაილების ჰეშებს, სერვერის IP მისამართებს, სპამის ელფოსტის სათაურ ხაზებს და კომპრომისის სხვა ინდიკატორებს (IOC) შეუძლიათ თავისუფლად იპოვონ ეს მონაცემები გააზიარა Twitter-ზე. კრიპტოლემუსი, უსაფრთხოების მკვლევართა ჯგუფი, რომელიც აკონტროლებს Emotet ბოტნეტს, ასევე სავარაუდოდ გამოაქვეყნებს უფასო საფრთხის ინტელექტის მონაცემებს დღეს მოგვიანებით.

მსოფლიოში ყველაზე ცნობილი და საშიში APT (სახელმწიფოში შემუშავებული) მავნე პროგრამა

უსაფრთხოება

უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ
  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ