Emotet, aujourd’hui l’un des plus grand et le plus dangereux logiciels malveillants botnets, est revenu à la vie après une période d’inactivité qui a duré près de quatre mois, depuis la fin de Mai de cette année.
Pendant ce temps, le botnet de commande et de contrôle (C&C), les serveurs ont été fermés, et Emotet a cessé d’envoyer des commandes à infectée infectée bots, et de nouveaux e-mail, les campagnes de spam à infecter de nouvelles victimes.
Certains chercheurs en sécurité à espérer que l’application de la loi avait secrètement trouvé un moyen d’arrêter la prodigieuse botnet; cependant, il n’a pas à être.
De nouvelles campagnes de spam
Emotet commencé à se répandre hors de nouveaux e-mails de spam aujourd’hui, Raashid Bhat, un chercheur en sécurité à SpamHaus, a déclaré à ZDNet.
Selon Bhat, les e-mails contenus malveillants de fichier des pièces jointes ou des liens vers des logiciels malveillants-lacé téléchargements. La campagne de spam qui a commencé crachant aujourd’hui à partir de Emotet infrastructure est principalement destiné à le polonais et l’allemand utilisateurs de la langue.
Emotet est pleinement de retour en action et le spamming. Dans les 15 dernières minutes, nos chercheurs ont observé l’activité. #botnet #emotet #ThreatIntel pic.twitter.com/jRTNqph6K0
— Spamhaus (@spamhaus) le 16 septembre 2019
Emotet est de retour spamming après des mois d’inactivité. Actuellement, ils utilisent volé des courriels à répondre à l’e-mail actuel des discussions avec malspam (ciblage DE).
— MalwareTech (@MalwareTechBlog) Le 16 Septembre 2019
#emotet a repris les activités de pollupostage, ce matin. Nous allons fournir des mises à jour très bientôt.
— Cofense Labs (@CofenseLabs) Le 16 Septembre 2019
Les utilisateurs qui reçoivent ces e-mails, et de télécharger et d’exécuter ces fichiers malveillants sont de s’exposer à être infecté par le Emotet logiciels malveillants.
Une fois infecté, les ordinateurs sont ajoutés à la Emotet botnet. Le Emotet des logiciels malveillants sur les ordinateurs infectés agit comme un downloader pour d’autres menaces.
Emotet est connue pour fournir des modules qui permet d’extraire les mots de passe des applications locales, répartis latéralement à d’autres ordinateurs sur le même réseau, et même voler courrier électronique l’ensemble des threads pour les réutiliser plus tard dans les campagnes de spam.
En outre, la Emotet gang est également connu pour exécuter leur botnet comme un Malware-as-a-Service (Meuse), où d’autres gangs criminels peuvent louer l’accès à Emotet d’ordinateurs infectés et de les déposer leurs propres logiciels malveillants souches aux côtés de Emotet.
Certains de Emotet les plus connus de clients sont les opérateurs de la Bitpaymer et Ryuk ransomware souches, qui ont souvent loué accès à Emotet-hôtes infectés à infecter les réseaux d’entreprises ou de collectivités locales avec leurs ransomware souches.
Un oeil de plus près à trois #Emotet infections qui a finalement abouti à #ransomware être abandonné: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) le 30 octobre 2018
Emotet réveil était prévu
Aujourd’hui Emotet le réveil n’a pas été une surprise totale pour les chercheurs en sécurité. Le Emotet serveurs C&C descendit à la fin de Mai, mais en fait ils revinrent à la vie, à la fin du mois d’août.
D’abord, ils n’ont pas commencé l’envoi de spam tout de suite. Depuis quelques semaines, les serveurs C&C ont été assis les bras croisés, de servir des fichiers binaires pour le Emotet “déplacement latéral” et “de voler les informations d’identification de modules”, Bhat dit ZDNet dans une interview aujourd’hui.
Bhat croit le Emotet opérateurs ont passé les dernières semaines de rétablir les communications avec déjà infectées par les robots qu’ils ont abandonné à la fin de Mai, et la diffusion à travers les réseaux locaux afin de maximiser la taille de leur réseau de zombies avant de passer à leur opération principale — l’envoi d’e-mail de spam.
Cette période de démarrage a été prédit par plusieurs chercheurs en sécurité le mois dernier, lors de la Emotet équipage allumé les lumières sur les serveurs C&C.
sans parler de la distribution de l’aile est tout un botnet de son propre qui doit être fired up, nourris piraté wordpress inventaire, des coquillages mis en œuvre, etc.
même les niveaux de l’infrastructure pour la distribution de l’aile.a doit être exécuté en premier.
— JTHL (@JayTHL) le 23 août 2019
Le fait que Emotet opérations se sont mort pendant quelques mois n’est pas vraiment une “nouvelle chose”. Les logiciels malveillants les réseaux de zombies vont souvent inactif pendant des mois pour des raisons différentes.
Certains botnets aller de l’obscurité à la mise à niveau de l’infrastructure, tandis que d’autres botnets descendre juste parce que les opérateurs prennent des vacances. Par exemple, le Dridex botnet va régulièrement chaque année entre mi-décembre et mi-janvier, pour les vacances d’hiver.
Au moment de la rédaction, il est difficile de comprendre pourquoi Emotet a arrêté au cours de l’été. Néanmoins, le botnet est revenue dans son état précédent, en continuant à fonctionner à l’aide d’un double modèle d’infrastructure, effectivement en cours d’exécution sur deux réseaux de zombies.
TrickBot remplacé Emotet comme premier botnet
Mais même si Emotet de l’arrêt de l’exploitation pour près de quatre mois, d’autres botnets ne pas prendre une pause. Alors que Emotet avait été en panne, les opérateurs de la TrickBot botnet ont pris le titre de la plupart des malwares actifs sur le fonctionnement du marché.
Ce graphique montre le nombre de Emotet Vs. TrickBot échantillons de malwares depuis janvier 2019. Vous pouvez clairement voir la disparition de Emotet 📉 malspam campagnes de la fin de Mai et de l’ascension de TrickBot 📈 en juillet qui est aujourd’hui utilisé pour déployer Ransomware 🔒💰sur les réseaux d’entreprise 🏛️ pic.twitter.com/IdPoGxYMbO
— abus.ch (@abuse_ch) le 13 août 2019
Emotet et TrickBot partagent de nombreuses similitudes. Les deux étaient des chevaux de troie bancaires qui ont été re-code de travail que les logiciels malveillants chargeurs — logiciels malveillants qui télécharge d’autres logiciels malveillants.
Les deux infecter les victimes et ensuite télécharger d’autres modules afin de voler des informations d’identification ou se déplacer latéralement à travers un réseau. En outre, ils vendent l’accès à des hôtes infectés à d’autres les gangs de logiciels malveillants, tels que cryptocurrency exploitation minière et ransomware opérateurs.
Avec TrickBot opérations dans les allures, Emotet reviennent à la vie, est une mauvaise nouvelle pour les administrateurs système en charge de la protection de l’entreprise et de gouvernement de réseaux de botnets ” cibles favorites.
Les chercheurs en sécurité et les administrateurs système à la recherche pour les hachages de fichier, serveur d’adresses IP, de spam e-mail des lignes d’objet, et d’autres indicateurs de compromission (IOCs) peut trouver ces données librement partagées sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité informatique de suivi de la Emotet botnet, sont aussi tenus de publier des articles sans menace intel données plus tard aujourd’hui.
Sécurité
Le ransomware crise va s’aggraver
LastPass bug fuites d’informations d’identification de site précédent
Base de données des fuites de données sur la plupart de l’est de l’Equateur citoyens, dont 6,7 millions d’enfants
Qui est propriétaire de vos données de santé? (ZDNet YouTube)
Le meilleur de BRICOLAGE systèmes de sécurité à domicile de 2019 (CNET)
Ce qui est d’alimenter la montée improbable de le millionnaire hacker? (TechRepublic)
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données