Depois dele ter ficado inerte desde o início de junho, a Botnet Emotet está de volta com servidores ativos em todo o mundo.
Botnet é um termo que mistura mistura as palavras robot e network, e serve para designar um grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa quase sempre com más intenções).
Embora tenha começado como um trojan bancário em 2014, a Emotet mudou seu curso para se tornar uma botnet que oferece várias linhagens de malware.
Agora, os servidores de comando e controle (C2) da botnet Emotet parecem ter retomado a atividade e entregam binários mais uma vez. Isso acontece depois dele ter ficado inerte desde o início de junho.
Botnet Emotet está de volta com servidores ativos em todo o mundo
A Emotet agora é uma das principais ameaças, sua infraestrutura está sendo usada para distribuir o Trickbot, outro cavalo de Troia bancário, e depois espalhar o ransomware Ryuk.
Essa combinação é chamada de ‘ameaça tripla’ e já afetou as administrações públicas nos EUA.
Os pesquisadores notaram que os operadores do Emotet fizeram uma pausa no início de junho e assumiram corretamente que não seria por muito tempo.
Nenhuma nova campanha foi observada desde então, e o consenso geral na comunidade de segurança da informação era de que os servidores estavam em manutenção.
Infelizmente, a infraestrutura C2 da botnet reviveu alguns dias atrás, às 15:00 EST, observou o Cofense Labs.
https://twitter.com/CofenseL/status/1164629884439879680
Uma lista de servidores considerados ativos está disponível aqui, vista on-line pelo Black Lotus Labs em 22 de agosto. Os analistas de malware já os estão rastreando.
- GitLab também é afetado por falha do GitHub
- Como instalar o utilitário de backup syncBackup no Linux via Flatpak
- Como instalar o AdGuard Home no Linux via Snap
- Descoberta uma vulnerabilidade no Flatpak
De acordo com o serviço geo-IP da MaxMind, os endereços são dos EUA, Hungria, França, Alemanha, Índia, Bélgica, Polônia, México, Argentina e Austrália.
O pesquisador de segurança MalwareTech percebeu a nova atividade e diz que lá não havia registrado novos binários de bots até agora, apenas novas atividades dos servidores.
https://twitter.com/MalwareTechBlog/status/1164619002259185664
Joseph Roosen, parte da atividade Emotet de rastreamento da equipe Cryptolaemus, confirmou que a rede de bots não libera novos binários no momento.
O motivo é que a retomada das operações requer tempo para reconstruir a botnet, limpá-la de bots de pesquisadores de segurança e preparar as campanhas de spam.
Outro pesquisador de segurança, Benkøw, fornece uma lista em tamanho de tweet dos estágios necessários para reaparecer a atividade maliciosa:
https://twitter.com/benkow_/status/1164899159431946240
Além disso, a distribuição também é um aspecto que os operadores precisam considerar, e isso também leva algum tempo, acrescenta JTHL, também membro da equipe Cryptolaemus.
A MalwareTech também notou a atividade do Emotet de várias localizações geográficas, incluindo Brasil, México, Alemanha, Japão e EUA.
Os pesquisadores esperam que as novas campanhas do Emotet sejam iniciadas em breve, dada a atividade intensa repentina e o grande número de fontes.
Kevin Beaumont acredita que as operadoras seguirão o mesmo modelo de negócios e espalharão o ransomware.
O que está sendo falado no blog
- Como instalar o jogo de quebra-cabeças Tetzle no linux via Flatpak
- Como instalar o jogo Jahresarbeit 2003 no Linux via Snap
- Opera 63 lançado com modo privado melhorado e mais
- Botnet Emotet está de volta com servidores ativos em todo o mundo
- Wine 4.0.2 estável lançado com 66 correções de bugs