Den Emotet malware laver igen titlerne. Ifølge en ny AdvIntel-rapport, hidtil i 2022, i alt 1,267,598 Emotet-infektioner er blevet opdaget over hele verden, med markante toppe mellem februar og marts, og juni og juli. Malwaren er blevet udnyttet af post-Conti ransomware-grupper såsom Quantum og Sort kat.
Emotet Malware: Kort Historie
Kort sagt, Emotet er en "alt-i-en malware", som kunne indstilles af trusselsaktører til enten at downloade anden malware og stjæle filer ved at opsnappe internettrafik, eller rekruttere de kompromitterede systemer til dens botnet-netværk. Kendt siden i hvert fald 2014, malwaren er blevet brugt i forskellige angreb mod både private mål og firma- og regeringsnetværk. Malwaren blev oprindeligt designet som en banktrojaner, og menes at være af østeuropæisk oprindelse.
"Emotet-botnettet (også kendt som SpmTools) har givet næring til store cyberkriminelle grupper som en indledende angrebsvektor, eller forløber, for adskillige igangværende angreb. fra november 2021 til Contis opløsning i juni 2022, Emotet var et eksklusivt Conti ransomware-værktøj, dog, Emotet-infektionskæden tilskrives i øjeblikket Quantum og BlackCat,” bemærkede AdvIntels rapport.
I august 2020, sikkerhedsforskere skabte en udnyttelse og efterfølgende en killswitch (døbt EmoCrash) for at forhindre malwaren i at sprede sig. Før de blev stoppet af ordensmagten, det blev aktivt distribueret i spamkampagner med temaet coronavirus-pandemien. Derefter, i 2021, måneder efter, at den blev demonteret af retshåndhævelsen, Emotet blev genoplivet. En rapport fra sikkerhedsforsker Luca Ebach så tegn på Emotet-brug i naturen i november sidste år, hvilket indikerer, at TrickBot blev brugt til at implementere en ny variant af Emotet på systemer, der tidligere var kompromitteret af TrickBot.
Aktuel Emotet-aktivitet [2022]
Det aktuelle botnet-flow for malwaren, ifølge rapporten, er Emotet – Cobalt Strike – Ransomware drift. Dette betyder, at trusselsaktørerne nu primært bruger det som en malware dropper/downloader til et Cobalt Strike-beacon. Sidstnævnte implementerer nyttelasten, som gør det muligt for hackerne at kompromittere netværk og udføre ransomware-angreb.
Malwaren kan bruges i enhver af følgende ondsindede aktiviteter:
- Opdagelse af e-mail-konti;
- Brut forcering;
- Indsamling af legitimationsoplysninger fra adgangskodebutikker og webbrowsere;
- Indhentning af lokale e-mail-samlinger;
- Eksfiltrering af følsomme data over dens kommando-og-kontrol-kanal;
- Proces injektioner (DL-injektioner);
- Udførelse af malware, som er afhængig af brugerinteraktion (såsom at åbne en ondsindet vedhæftet fil).
Vi vil fortsætte med at overvåge Emotets aktivitet og informere dig om eventuelle nye hændelser.
relaterede Story: Malware-statistikker 2022: Ransomware fortsætter med at være den største trussel