Emotet malware gav sine controllere en bagdør til kompromitterede maskiner, som kunne lejes ud til andre grupper, herunder ransomware-bander, til at bruge til deres egne kampagner. Emotet brugte også inficerede systemer til at sende automatiske phishing-e-mails for at øge størrelsen af botnettet – før det blev fjernet i januar i år.
Demontering af botnettet var en af de mest markante forstyrrelser af cyberkriminelle operationer i de senere år, da retshåndhævende myndigheder rundt om i verden – inklusive Europol og FBI – arbejdede sammen for at få kontrol over hundredvis af Emotet-servere, der kontrollerede millioner af pc'er inficeret med malware. En speciallavet killswitch-opdatering oprettet af efterforskere afinstallerede effektivt botnet fra inficerede computere i april.
SE: En vindende strategi for cybersikkerhed (ZDNet særberetning)
Men nu har forskere fra en række cybersikkerhedsvirksomheder advaret om, at Emotet er vendt tilbage. Et andet malware-botnet, TrickBot – som blev gået til mange cyberkriminelle efter fjernelsen i januar – bliver brugt til at installere Emotet på inficerede Windows-systemer.
“Vi observerede på flere af vores Trickbot-trackere, at botten forsøgte at downloade en DLL til systemet. Ifølge intern behandling er disse DLL'er blevet identificeret som Emotet. Men siden botnettet blev fjernet tidligere i år, var vi mistænksomme mht. resultaterne og gennemførte en indledende manuel verifikation,” skrev Luca Ebach, sikkerhedsforsker hos G Data, en tysk cybersikkerhedsvirksomhed, i et blogindlæg.
“I øjeblikket har vi stor tillid til, at prøverne faktisk ser ud til at være en re-inkarnation af den berygtede Emotet,” tilføjede han.
Cybersikkerhedsforskere fra AdvIntel, Crypolaemus og andre har også bekræftet, at dette ligner tilbagevenden af Emotet, som ser ud til at bruge en anden krypteringsteknik end den, der tidligere blev set.
I øjeblikket forsøger Emotet ikke at omfordele sig selv, men stoler i stedet på TrickBot til at sprede nye infektioner – men det indikerer, at dem bag Emotet forsøger at få botnettet op at køre igen.
“Forholdet mellem denne nye variant og den gamle Emotet viser kodeoverlap og teknikoverlap,” James Shank, chefarkitekt for samfundstjenester og senior sikkerhedsevangelist hos Team Cymru, et cybersikkerhedsfirma, der var blandt dem, der hjalp med at forstyrre Emotet i januar, fortalte ZDNet i en e-mail.
“Det vil tage noget tid at se, hvordan Emotet genopbygger, og om det kan blive 'verdens farligste malware' igen. Du kan være sikker på, at dem, der var med til at fjerne det første gang, holder øje. Det kommer ikke. som en overraskelse, at Emotet dukkede op igen. Faktisk kan flere undre sig over, hvorfor det tog så lang tid,” tilføjede han.
SE: Denne mystiske malware kan true millioner af routere og IoT-enheder
Cybersikkerhedsforskere har givet en liste over kommando- og kontrolservere netværksadministratorer kan blokere for at forhindre Emotet-infektioner.
For at beskytte systemer mod at blive ofre for Emotet, Trickbot og andre malware-indlæsere, anbefales det, at sikkerhedsrettelser anvendes, når de frigives for at forhindre cyberkriminelle i at udnytte kendte sårbarheder og at brugerne gøres opmærksomme på af farerne ved phishing-e-mails.
MERE OM CYBERSIKKERHED
Ransomware-bander bruger disse 'hensynsløse' taktikker, da de sigter mod større udbetalingerEmotet botnet høstet 4.3 millioner e-mailadresser. Nu bruger FBI Have I Been Pwned til at advare ofreneVirksomheder taler ikke om at være ofre for cyberangreb. Det skal ændresDet amerikanske justitsministerium anklager lettisk statsborger for at implementere Trickbot-malwareRansomware: Det er en 'gylden æra' for cyberkriminelle – og det kan blive værre, før det bliver bedre< /strong> Sikkerheds-tv | Datastyring | CXO | Datacentre