Noll
En ökänd familj av skadlig kod som har varit på en växande väg sedan förra året har fått en större uppdatering denna vecka som kommer att skicka rysningar längs någon organisation är tillbaka.
Enligt en rapport från Kryptos Logik delade tidigare idag med ZDNet, Emotet familj av skadlig kod har igång massa-skörd fullständiga e-postmeddelanden från infekterade offer, med början igår.
Den Emotet gruppen har funnits sedan 2014, när de första började sprida en första version av deras skadlig kod som fungerade som en full-on bank trojan.
Denna bank trojan var aldrig ett enormt hot och långsamt dog ut under de kommande tre åren, alla till sommaren 2017, när Emotet gäng förnyade sin kod och vände den ursprungliga Emotet bank trojan i en modulär familj av skadlig kod som främst används för att infektera användarna och sedan leverera sekundära nyttolaster för andra kriminella grupper-i en klassisk pay-per-install system.
Ända sedan förra sommaren, Emotet har varit att växa, och växa, och växa-både i kapacitet och i antalet offer har infekterats.
Skadlig kod har blivit så överallt numera att AMERIKANSKA Department of Homeland Security har utfärdat ett säkerhetsmeddelande under sommaren, varning företag om de hot som Emotet innebär att deras nätverk.
Faran kommer från det faktum att Emotet har en mängd mindre moduler som det hämtar när det av ett första fotfäste. Några av dessa moduler, såsom SMB-baserad spridare som rör sig i sidled hela nätverk, kan härja inne i stora organisationer.
Dessutom, Emotet också kommer aldrig ensam, ofta tappa ännu mer potenta hot, såsom TrickBot infostealer, remote access-trojaner, eller, i värsta fall, även ransomware.
Beryktade är de fall av staden Allentown, där en Emotet infektionen har spridit sig i varje hörn av staden nätverk och hämtade ännu mer skadlig kod, och i slutändan bestämde sig kommunen att betala nästan $1 miljon att bygga upp sin infrastruktur från grunden.
Men enligt Kryptos Logik, med start idag, nätverk admins har också ett annat problem –exfiltration av känsliga användaruppgifter från infekterade system.
Detta sker via en ny Emotet modul som blint skördar alla e-postmeddelanden som skickas eller tas emot från infekterade värdar från de senaste 180 dagarna. Den goda nyheten är att denna modul fungerar endast med Microsoft Outlook för anläggningar… för nu.
Medan detta Emotet modul verkar vara ganska ofarliga, cyber-brottslingar för att stjäla känslig e-post som är att likna vid ett dataintrång, och många organisationer infekterad med detta Emotet modul kommer sannolikt att behöva inleda dataintrång anmälan, förfaranden och allt det negativa tryck som kommer med sådana uttalanden.
Dessutom, som Kryptos Logik forskarna påpekade också, Emotet är massutskick av e-post skörd modul är mycket utöver det vanliga. De flesta malware som har deltagit i något liknande har bara samlat in e-postadresser, som det senare används för att driva nya spam-kampanjer.
Detta icke-diskriminerande insamling av data modul tyder på att Emotet gang sannolikt letar efter något specifikt på infekterade datorer.
“Vi tror att modulen är för närvarande spridda, men det är för tidigt att bekräfta om det är geografiskt specifika,” Jamie Hankins, Chef för Säkerhet Och Hot Intelligens Forskning, Kryptos Logik, berättade ZDNet i en intervju. “Emotet är inte begränsad till någon geografi, men det tenderar att fokusera på OSS själva.”
För närvarande Kryptos Logik uppskattar storleken av Emotet botnet för att åtminstone ett par hundra tusen,” men att data är baserade på unika IP-adresser, och det faktiska antalet infekterade datorer kan vara ännu högre, eftersom vissa system kan ligga bakom samma IP-adresser.
“Det finns inte tillräckligt med information för att kunna berätta vad hotet aktörer motiv är just nu,” Hankins sade.
Experten tillägger att typiska råvaror botnät har specifika mål för att omedelbart tjäna pengar på stulna uppgifter, såsom att sälja bank-information, referenser, etc., men mass-skörd innehållet i e-postmeddelanden är inte något som kan omvandlas till en omedelbar vinst.
“Tillägg av denna modul verkligen säger oss att de är kanske förbereder sig för en mer specifik kampanj från den information som de utnyttjar e-post och exfiltration,” Hankins berättade för oss.
Vad som syfte kan vara är allas gissa. De kan söka på e-post för corporate communications som kan utnyttjas i BEC bedrägerier, de kan söka för inter-bank-relaterade uppgifter så att de kan planera bank cyber-heists, eller de kan söka för stora företag där de kan distribuera ransomware.
Men som Hankins har också påpekade, de kan också vara att arbeta med en utländsk regering, precis som författaren av ZeuS botnet/bank trojan har gjort i det förflutna.
“Insamling av data i massan ger en weaponized data-driven analytisk förmåga som inte bör underskattas, med tanke på hur effektiva kirurgiska e-post läckor har varit i den senaste tiden, säger experten sa.
Allt i allt, “Emotet är utan tvekan en av de mest avancerade botnät som någonsin skapats,” och företag bör inte tillåta någon Emotet infektion dröja på deras nät därför att, som det har nyligen visat sig under det senaste året, en Emotet infektion tenderar att komma mycket dåligt, mycket snabbt.
Relaterade täckning:
Satori botnet författare i fängelse igen efter att bryta väntan på rättegång villkor för att släppaMagecart koncernen utnyttjar noll dagar i 20 Magento tilläggFireEye länkar ryska research lab till Triton ICS malware attackerHur malware landskapet utvecklas TechRepublicCryptomining malware upptäckt maskerad som Flash uppdateringar CNETGPlayed Trojanska lillebror är efter ditt bankkontoMöta den skadliga program som förvandlar din smartphone till en mobil proxy
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0