Botnet Emotet está de volta com servidores ativos em todo o mundo

Depois dele ter ficado inerte desde o início de junho, a Botnet Emotet está de volta com servidores ativos em todo o mundo.

Botnet é um termo que mistura mistura as palavras robot e network, e serve para designar um grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa quase sempre com más intenções).

Botnet Emotet está de volta com servidores ativos em todo o mundo

Embora tenha começado como um trojan bancário em 2014, a Emotet mudou seu curso para se tornar uma botnet que oferece várias linhagens de malware.

Agora, os servidores de comando e controle (C2) da botnet Emotet parecem ter retomado a atividade e entregam binários mais uma vez. Isso acontece depois dele ter ficado inerte desde o início de junho.

Botnet Emotet está de volta com servidores ativos em todo o mundo

A Emotet agora é uma das principais ameaças, sua infraestrutura está sendo usada para distribuir o Trickbot, outro cavalo de Troia bancário, e depois espalhar o ransomware Ryuk.

Essa combinação é chamada de ‘ameaça tripla’ e já afetou as administrações públicas nos EUA.

Os pesquisadores notaram que os operadores do Emotet fizeram uma pausa no início de junho e assumiram corretamente que não seria por muito tempo.

Nenhuma nova campanha foi observada desde então, e o consenso geral na comunidade de segurança da informação era de que os servidores estavam em manutenção.

Infelizmente, a infraestrutura C2 da botnet reviveu alguns dias atrás, às 15:00 EST, observou o Cofense Labs.


Uma lista de servidores considerados ativos está disponível aqui, vista on-line pelo Black Lotus Labs em 22 de agosto. Os analistas de malware já os estão rastreando.


De acordo com o serviço geo-IP da MaxMind, os endereços são dos EUA, Hungria, França, Alemanha, Índia, Bélgica, Polônia, México, Argentina e Austrália.

O pesquisador de segurança MalwareTech percebeu a nova atividade e diz que lá não havia registrado novos binários de bots até agora, apenas novas atividades dos servidores.


Joseph Roosen, parte da atividade Emotet de rastreamento da equipe Cryptolaemus, confirmou que a rede de bots não libera novos binários no momento.

O motivo é que a retomada das operações requer tempo para reconstruir a botnet, limpá-la de bots de pesquisadores de segurança e preparar as campanhas de spam.
 
Outro pesquisador de segurança, Benkøw, fornece uma lista em tamanho de tweet dos estágios necessários para reaparecer a atividade maliciosa: 


Além disso, a distribuição também é um aspecto que os operadores precisam considerar, e isso também leva algum tempo, acrescenta JTHL, também membro da equipe Cryptolaemus.

A MalwareTech também notou a atividade do Emotet de várias localizações geográficas, incluindo Brasil, México, Alemanha, Japão e EUA.

Os pesquisadores esperam que as novas campanhas do Emotet sejam iniciadas em breve, dada a atividade intensa repentina e o grande número de fontes.

Kevin Beaumont acredita que as operadoras seguirão o mesmo modelo de negócios e espalharão o ransomware.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Deixe um comentário

Sair da versão mobile