O malware Emotet, que já foi considerado o mais difundido no mundo, está de volta quase 10 meses depois que uma operação policial coordenada pela Europol e Eurojust desmontou sua infraestrutura de comando e controle no final de janeiro de 2021.
De acordo com um novo relatório do pesquisador de segurança Luca Ebach, o malware TrickBot está sendo usado como vetor de ataque de uma nova versão do Emotet visando sistemas que já tinham sido infectados pela versão anterior. A variante mais recente assume a forma de um arquivo DLL, com a primeira ocorrência sendo detectada em 14 de novembro.
A Europol apelidou o Emotet como o "malware mais perigoso do mundo" por sua capacidade de atuar como um "abridor de portas" para que hackers obtenham acesso não autorizado, tornando-se um precursor de ataques de ransomware. O Emotet permitiu que outras famílias de malware, como Trickbot, QakBot e Ryuk se espalhassem em larga escala.
A operação policial utilizou a infraestrutura do Emotet para desinstalar automaticamente o malware em massa dos computadores comprometidos em abril.
Para evitar que os dispositivos sejam cooptados para a botnet, é recomendado que os administradores de rede bloqueiem todos os endereços IP associados.
Em menos de 24 horas, o Emotet expandiu sua infraestrutura de comando e controle (C2) de botnet de 9 servidores C2 ativos para 14 servidores C2 ativos.
O aumento na atividade do malware foi acompanhado por um crescimento nas campanhas de malspam, com cadeias de infecção que usam documentos Word e Excel habilitados para macro anexados a e-mails. Kevin Beaumont, pesquisador de segurança, tweetou:
[O Emotet está] de volta e reequipado. O código e a infraestrutura tiveram atualizações, estão mais protegidos agora. Deve ser alguém com acesso ao código-fonte original.
O especialista em Emotet e pesquisador do Cryptolaemus Joseph Roosen, completa:
Até agora podemos confirmar definitivamente que o buffer de comando mudou. Agora existem 7 comandos em vez de 3-4. Parece haver várias opções de execução para binários baixados (já que não são apenas dlls).
Vitali Kremez, da Advanced Intel, também analisou o novo dropper Emotet e alertou que o renascimento da botnet pode levar a um aumento nas infecções de ransomware:
É um primeiro sinal da possível atividade iminente do malware Emotet, alimentando as principais operações de ransomware globalmente, devido à escassez no ecossistema de loaders.
A remoção do Emotet não evitou que os adversários obtivessem o arquivo original do malware e configurassem o sistema de back-end, trazendo-o de volta à vida.
Fontes: Bleeping Computer e The Hacker News
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
