Depois dele ter ficado inerte desde o início de junho, a Botnet Emotet está de volta com servidores ativos em todo o mundo.
Botnet é um termo que mistura mistura as palavras robot e network, e serve para designar um grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa quase sempre com más intenções).
Embora tenha começado como um trojan bancário em 2014, a Emotet mudou seu curso para se tornar uma botnet que oferece várias linhagens de malware.
Agora, os servidores de comando e controle (C2) da botnet Emotet parecem ter retomado a atividade e entregam binários mais uma vez. Isso acontece depois dele ter ficado inerte desde o início de junho.
Botnet Emotet está de volta com servidores ativos em todo o mundo
A Emotet agora é uma das principais ameaças, sua infraestrutura está sendo usada para distribuir o Trickbot, outro cavalo de Troia bancário, e depois espalhar o ransomware Ryuk.
Essa combinação é chamada de ‘ameaça tripla’ e já afetou as administrações públicas nos EUA.
Os pesquisadores notaram que os operadores do Emotet fizeram uma pausa no início de junho e assumiram corretamente que não seria por muito tempo.
Nenhuma nova campanha foi observada desde então, e o consenso geral na comunidade de segurança da informação era de que os servidores estavam em manutenção.
Infelizmente, a infraestrutura C2 da botnet reviveu alguns dias atrás, às 15:00 EST, observou o Cofense Labs.
The Emotet botnet arose from the grave yesterday and began serving up new binaries. We noticed that the C2 servers began delivering responses to POST requests around 3PM EST on Aug 21. Stay vigilant and keep an eye out for any updates as we monitor for any changes.
— Cofense Labs (@CofenseLabs) August 22, 2019
Uma lista de servidores considerados ativos está disponível aqui, vista on-line pelo Black Lotus Labs em 22 de agosto. Os analistas de malware já os estão rastreando.
- Como instalar o poderoso utilitário de rede Nmap no Linux
- Como instalar o módulo de segurança do Banco Itaú no Linux
- Como instalar o app de backup Kopia no Linux via AppImage
- Como instalar o exchange Bisq no Linux via Flatpak
De acordo com o serviço geo-IP da MaxMind, os endereços são dos EUA, Hungria, França, Alemanha, Índia, Bélgica, Polônia, México, Argentina e Austrália.
O pesquisador de segurança MalwareTech percebeu a nova atividade e diz que lá não havia registrado novos binários de bots até agora, apenas novas atividades dos servidores.
No new bot binaries so far, but the C2s are responding for the first time in months.
— Marcus Hutchins (@MalwareTechBlog) August 22, 2019
Joseph Roosen, parte da atividade Emotet de rastreamento da equipe Cryptolaemus, confirmou que a rede de bots não libera novos binários no momento.
O motivo é que a retomada das operações requer tempo para reconstruir a botnet, limpá-la de bots de pesquisadores de segurança e preparar as campanhas de spam.
Outro pesquisador de segurança, Benkøw, fornece uma lista em tamanho de tweet dos estágios necessários para reaparecer a atividade maliciosa:
They reuse the old IPs so they need time to:
– Grab old/new bots (it's Friday it's not a glorious day for botnets)
– remove ALL the AV bots from today on the panel lol
– Run some tests for bypassing anti spam product
– Prepare the campaign for the next Clients
etc it takes time— Benkøw moʞuƎq (@benkow_) August 23, 2019
Além disso, a distribuição também é um aspecto que os operadores precisam considerar, e isso também leva algum tempo, acrescenta JTHL, também membro da equipe Cryptolaemus.
A MalwareTech também notou a atividade do Emotet de várias localizações geográficas, incluindo Brasil, México, Alemanha, Japão e EUA.
Os pesquisadores esperam que as novas campanhas do Emotet sejam iniciadas em breve, dada a atividade intensa repentina e o grande número de fontes.
Kevin Beaumont acredita que as operadoras seguirão o mesmo modelo de negócios e espalharão o ransomware.
O que está sendo falado no blog
- Como instalar o jogo de quebra-cabeças Tetzle no linux via Flatpak
- Como instalar o jogo Jahresarbeit 2003 no Linux via Snap
- Opera 63 lançado com modo privado melhorado e mais
- Botnet Emotet está de volta com servidores ativos em todo o mundo
- Wine 4.0.2 estável lançado com 66 correções de bugs