Storm Center (ISC) institūta drošības pētnieki novērojuši pasaulē bīstamākās ļaunprogrammatūras Emotet atgriešanos, kas ir uzlabota. Tiek izmantoti ļaunprātīgi e-pasti ar inficētiem Word, Excel un zip arhīviem.
Emotet parādījās 2014. gadā, tomēr pēc pasaules tiesībaizsardzības iestāžu koordinētas izspiedējvīrusa apkarošanas operācijas, šī izspiedējvīrusu banda gandrīz uz gadu pārtrauca savu darbību. 2021. gada janvārī iestādes konfiscēja Emotet serverus un aizturēja divas operācijā iesaistītās personas. Tās arī izdeva atinstalēšanas komandas vairākās valstīs, piemēram, Polijā un Vācijā, attīrot vairāk nekā miljonu inficēto datoru.
Jaunais Emotet izmanto esošo TrickBot infrastruktūru
G DATA drošības pētnieks Luka Ebahs norādīja, ka paraugs pirms izplatīšanas tikai nesen, 14. novembrī, tika kompilēts. Turklāt viņš konstatēja, ka ar paraugu saistītā datplūsma bija līdzīga datplūsmai, ko Kaspersky saistīja ar Emotet ļaunprogrammatūru.
Ļaunprātīgā programmatūra Emotet izmanto HTTPS datplūsmu ar pašparakstītu servera sertifikātu.
Emotet ir viens no populārākajiem ļaunatūras veidiem un acīmredzot tam joprojām ir zināma noturība. Lai gan tas ir viegli identificējams, Trickbot kombinācija ar Emotet joprojām spēj inficēt sistēmas, kas nav labi aizsargātas. Uzņēmumiem ir jāturpina būt modriem pret ļaunprātīgo programmatūru, ko piegādā zināmi ļaunprātīgi dalībnieki, lai cīnītos ar tās ietekmi.
Emotet operatori mēģina veikt rekonstrukciju, izmantojot TrickBot esošo infrastruktūru operācijā “Reacharound”. Jaunais variants satur septiņas komandas, kamēr tā priekštecim bija tikai trīs līdz četras.
Jauns Emotet – jauna infrastruktūra
Ļaunprātīgās programmatūras izsekošanas vietnē Abuse.ch tika publicēts Emotet ļaunprogrammatūras komandu un kontroles serveru saraksts. Tomēr šie serveri uzkrītoši atšķīrās no tiem, kas tika konfiscēti janvārī, un tas liecina par pilnīgi jaunu infrastruktūru. Tīmekļa vietne arī atklāja, ka operatori 24 stundu laikā C2 serveru sarakstu bija paplašinājuši no deviņiem līdz četrpadsmit, kas liecināja, ka viņi gatavojas kādai darbībai. Vismaz 246 inficētās ierīces jau darbojās kā C2 serveri.
Pētnieki ieteica tīkla administratoriem bloķēt IP adreses, lai novērstu kompromitēšanu ar atjaunojamo Emotet ļaunprogrammatūras variantu.
Saskaņā ar bijušā Microsoft pētnieka Kevina Beaumonta teikto, jaunā Emotet ļaunprogrammatūras versija ir labāka un, iespējams, tā ir radīta izmantojot oriģinālo pirmkodu. Būs nepieciešams zināms laiks, lai redzētu, kā Emotet atjaunosies un vai tas atkal spēs kļūt par “pasaulē bīstamāko ļaunprātīgo programmatūru”.
Emotet tīkla likvidēšanai, ko 2021. gada janvārī veica Eiropols, bija tikai īslaicīgs efekts. WIZARD SPIDER ir izsmalcināts e-noziedznieku grupējums, kura arsenālā ir arī tādas ļaunprogrammatūras kā Ryuk, Conti un Cobalt Strike. WIZARD SPIDER veiktā Emotet pārņemšana iespaidīgi parāda, cik elastīga līdz šim ir kļuvusi e-noziedznieku vide.
SANS ICS un MalwareBytes pētnieki novēroja Emotet pikšķerēšanas kampaņu, kurā tika izmantoti ļaunprātīgi e-pasti ar inficētiem Word, Excel un zip arhīviem. Kampaņa izmanto nozagtus e-pasta atbildes pavedienus, izplatīšanai neizmantojot TrickBot.
E-pasta vēstulēs ietverti tādi saistoši temati kā aktuālie ziņu notikumi, viltotas korporatīvās piezīmes un rēķini, lai maldinātu cilvēkus tos atvērt. Ir novērots ka Emotet Draudu dalībnieki popularizē ļaunprātīgas saites, lai lejupielādētu inficētus dokumentus.
Jāatzīmē, ka Emotet atgriešanās sakrīt ar arvien biežākiem izspiedējvīrusu uzbrukumiem un tiem sekojošiem saskaņotiem globāliem centieniem saukt vainīgos pie atbildības.
