Emotet, som en gång beskrevs som “världens farligaste skadliga program” innan den togs ner av en stor internationell polisinsats, är tydligen tillbaka – och håller på att installeras på Windows-system infekterade med TrickBot skadlig programvara.
Emotet skadlig programvara försåg sina kontroller med en bakdörr till komprometterade maskiner, som kunde hyras ut till andra grupper, inklusive ransomware-gäng, för att använda för sina egna kampanjer. Emotet använde också infekterade system för att skicka automatiska phishing-e-postmeddelanden för att öka storleken på botnätet – innan det togs ut i januari i år.
Nedmonteringen av botnätet var en av de mest betydande störningarna av cyberkriminella operationer på senare år, eftersom brottsbekämpande myndigheter runt om i världen – inklusive Europol och FBI – arbetade tillsammans för att få kontroll över hundratals Emotet-servrar som kontrollerade miljontals datorer infekterade med skadlig programvara. En specialgjord killswitch-uppdatering skapad av utredare avinstallerade effektivt botnät från infekterade datorer i april.
SE: En vinnande strategi för cybersäkerhet (ZDNet särskild rapport)
Men nu har forskare från en rad cybersäkerhetsföretag varnat för att Emotet har återvänt. Ett annat botnät för skadlig programvara, TrickBot – som blev det bästa för många cyberbrottslingar efter nedtagningen i januari – används för att installera Emotet på infekterade Windows-system.
“Vi observerade på flera av våra Trickbot-spårare att boten försökte ladda ner en DLL till systemet. Enligt intern bearbetning har dessa DLL:er identifierats som Emotet. Men sedan botnätet togs ner tidigare i år var vi misstänksamma mot fynden och genomförde en första manuell verifiering”, skrev Luca Ebach, säkerhetsforskare på G Data, ett tyskt cybersäkerhetsföretag, i ett blogginlägg.
“För närvarande har vi hög tilltro till att proverna verkligen verkar vara en återinkarnation av den ökända Emotet,” tillade han.
Cybersäkerhetsforskare från AdvIntel, Crypolaemus och andra har också bekräftat att detta ser ut som återkomsten av Emotet, som verkar använda en annan krypteringsteknik än den som sågs tidigare.
För närvarande försöker inte Emotet omfördela sig själv, utan förlitar sig istället på TrickBot för att sprida nya infektioner – men det tyder på att de bakom Emotet försöker få igång botnätet igen.
“Förhållandet mellan den här nya varianten och den gamla Emotet visar kodöverlappning och tekniköverlappning,” James Shank, chefsarkitekt för samhällstjänster och senior säkerhetsevangelist på Team Cymru, ett cybersäkerhetsföretag som var bland dem som hjälpte till att störa Emotet i januari, berättade för ZDNet i ett mejl.
“Det kommer att ta lite tid att se hur Emotet återuppbyggs, och om det kan bli 'världens farligaste skadliga program' igen. Du kan vara säker på att de som hjälpte till att ta ner det första gången håller vakt. Det kommer inte som en överraskning att Emotet dök upp igen. Faktum är att fler kanske undrar varför det tog så lång tid”, tillade han.
SE: Denna mystiska skadliga programvara kan hota miljontals routrar och IoT-enheter
Cybersäkerhetsforskare har tillhandahållit en lista över kommando- och kontrollservrar som nätverksadministratörer kan blockera för att förhindra Emotet-infektioner.
För att skydda system från att falla offer för Emotet, Trickbot och andra skadlig programvara rekommenderar vi att säkerhetskorrigeringar appliceras när de släpps för att förhindra att cyberbrottslingar utnyttjar kända sårbarheter och att användarna görs medvetna om om farorna med nätfiske-e-post.
MER OM CYBERSÄKERHET
Ransomware-gäng använder dessa “hänsynslösa” taktiker när de siktar på större utbetalningarEmotet botnet harvested 4.3 miljoner e-postadresser. Nu använder FBI Have I Been Pwned för att varna offrenFöretag pratar inte om att vara offer för cyberattacker. Det måste ändrasDet amerikanska justitiedepartementet anklagar lettisk medborgare för att ha distribuerat Trickbot malwareRansomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre< /strong> Säkerhets-TV | Datahantering | CXO | Datacenter