Po prawie dwóch miesiącach bezczynności botnet Emotet powrócił z odświeżoną wersją oprogramowania i kampanią, która uderza w 100.000 celów dziennie.
Emotet rozpoczął życie jako trojan bankowy w 2014 roku i stale ewoluował, by stać się pełnowartościowym narzędziem służącym do dystrybucji zagrożeń (infekowania komputerów ofiar). Może zainstalować szereg złośliwego oprogramowania na urządzeniach ofiar, w tym umożliwiające wykradanie informacji, programy do pozyskiwania poczty elektronicznej, mechanizmy autopropagacji i ransomware. Ostatni raz pojawił się w październiku, skupiając się na wolontariuszach Demokratycznego Komitetu Narodowego (DNC), a wcześniej działał w lipcu, po pięciomiesięcznej przerwie, podrzucając trojan Trickbot. Wcześniej, w lutym, zaobserwowano go w kampanii, w ramach której wysyłano sms-y rzekomo z banków ofiar.
„Botnet Emotet jest jednym z najbardziej aktywnych nadawców złośliwych e-maili, ale zazwyczaj pozostaje w stanie uśpienia przez kilka tygodni lub miesięcy” – powiedział Brad Haas, badacz z Cofense. „W tym roku taka przerwa trwała od lutego do połowy lipca i była to najdłuższa przerwa, jaką Cofense odnotowało w ciągu ostatnich kilku lat. Od tego czasu zaobserwowano regularną aktywność Emotetów aż do końca października.”
Botnet pozostaje również zgodny z formą, jeśli chodzi o użyteczność, twierdzą badacze. „W październiku najpopularniejszymi wtórnymi ładunkami w dystrybucji (infekowaniu systemów ofiar) były TrickBot, Qakbot i ZLoader” powiedział Haas.
Złośliwe oprogramowanie TrickBot (malware) jest znanym i zaawansowanym trojanem, który po raz pierwszy został opracowany w 2016 roku jako bankowe złośliwe oprogramowanie – podobnie jak Emotet, ma za sobą historię ewolucji i dodawania nowych funkcji w celu uniknięcia wykrycia lub zwiększenia możliwości infekcji. Użytkownicy zainfekowani trojanami TrickBot będą mogli zaobserwować, jak ich urządzenie staje się częścią botnetu, którego napastnicy używają do instalowania złośliwego oprogramowania drugiego stopnia – badacze nazwali je „idealnym narzędziem służącym do pobierania prawie każdego złośliwego oprogramowania”.
Typowymi konsekwencjami infekcji TrickBota są przejęcie konta bankowego, oszustwa i ataki ransomware o dużej wartości. Ostatnio zaimplementowano w nim funkcje przeznaczone do kontroli firmware’u UEFI/BIOS systemów docelowych.
Kilka firm zajmujących się bezpieczeństwem zauważyło najnowszą kampanię, a Proofpoint odnotował na Twitterze: „Widzimy ponad 100 tys. wiadomości w języku angielskim, niemieckim, hiszpańskim, włoskim i innych. Hakerzy używają wątków z załącznikami Worda, zahasłowanymi plikami spakowanymi zip’em oraz adresów URL”.
Thread hijacking to nowa opcja a zarazem sposób działania Emotet, który został opisany jesienią przez naukowców z Palo Alto Networks. Operatorzy złośliwego oprogramowania są w stanie włączyć się do istniejącej rozmowy e-mail (wątku), odpowiadając na prawdziwego e-maila, który jest wysyłany konta i komputera ofiary. Odbiorca nie ma powodu, by sądzić, że wiadomość jest złośliwa.
Sherrod DeGrippo, starszy dyrektor ds. badań nad zagrożeniami i ich wykrywania w Proofpoint:
„Nasz zespół nadal analizuje nowe próbki i do tej pory znaleźliśmy tylko drobne zmiany”. Na przykład, kod binarny Emotet jest teraz przekazywany jako DLL zamiast .exe”, powiedział DeGrippo. „Zazwyczaj obserwujemy setki tysięcy e-maili dziennie, gdy Emotet jest aktywny. Wolumeny w tych kampaniach są podobne do innych kampanii z przeszłości, na ogół około 100,000 do 500,000 dziennie.”
Dodała, że najciekawszą rzeczą w tej kampanii jest czas.
„Zazwyczaj obserwujemy, że Emotet przerywa działalność od 24 grudnia do początku stycznia”, zauważyła.
W międzyczasie badacze Malwarebytes zauważyli, że hakerzy w swoich kampaniach atakują naprzemiennie wykorzystując różne techniki phishing’owe, aby w ten sposób umożliwić wykorzystanie makr – wykorzystują w tym m.in. tematy związane z COVID-19.
Zespół Cofense obserwował tę samą aktywność, zauważając, że oznacza ona ewolucję grupy Emotet.
„Nowy maldoc (Advanced Malicious Document – dokument zainfekowany złośliwym oprogramowaniem, najczęściej makrem) Emotet zawiera istotną zmianę, prawdopodobnie mającą na celu powstrzymanie ofiar od wykrycia, że właśnie zostały zainfekowane”, powiedział. „Dokument nadal zawiera złośliwy kod makro do zainstalowania Emoteta, i nadal podszywa się pod dokument „chroniony”, który wymaga od użytkowników włączenia makr w celu jego otwarcia. Stara wersja nie dawała żadnej widocznej odpowiedzi po włączeniu makr, co mogło wzbudzić podejrzenie u ofiary. Nowa wersja tworzy okno dialogowe mówiące, że „Word napotkał błąd próbując otworzyć plik”. Daje to użytkownikowi wyjaśnienie, dlaczego nie widzi oczekiwanej treści i sprawia, że jest bardziej prawdopodobne, że zignoruje cały incydent, podczas gdy Emotet działa w tle”.
Wznowienie propagacji złośliwego oprogramowania (malware), choć bez dramatycznych zmian w stosunku do poprzedniej aktywności, powinno być obserwowane przez administratorów, twierdzą analitycy.
„Emotet najbardziej obawia się o swoje relacje z innymi przestępcami, zwłaszcza tymi z branży okupu”. Trio Emotet – TrickBot – Ryuk siały spustoszenie w okolicach świąt Bożego Narodzenia w 2018 roku”, twierdzi Malwarebytes. „święta to również świetna okazja do przeprowadzenia nowych ataków, szczególnie gdy wiele firm ma do dyspozycji ograniczoną liczbę pracowników”. Ten rok jest jeszcze bardziej krytyczny w obliczu pandemii i niedawnej porażki SolarWinds. Apelujemy do firm, aby zachowały szczególną czujność i nadal podejmowały kroki w celu zabezpieczenia swoich sieci, zwłaszcza w zakresie polityki bezpieczeństwa i kontroli dostępu”.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych